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内 容 简 介 


本 书 主要 针对 高 等 院 校 计 算 机 科学 与 技术 .通信 工程 .计算 机 网 络 等 相关 专业 .在 计算 机 网 络 基础 
理论 .网 络 安全 基础 理论 学 习 完 成 之 后 :配套 使 用 的 网 络 安全 实验 教程 。 本 书 介绍 了 在 局 域 网 组 建 过 程 
中 ,使 用 的 多 项 安全 产品 及 相关 技术 ,包括 网 络 防火 墙 .IDS 入 侵 检测 系统 、USG 统一 网 关 和 综合 网 络 安 
全 实践 教程 。 

本 书 分 为 4 篇 ,按照 局 域 网 组 建 中 使 用 到 的 网 络 安全 产品 .详细 讲述 了 使 用 这 些 网 络 安全 设备 , 解 
决 实际 生活 中 遇 到 的 各 种 安全 问题 ,包括 网 络 防火 墙 应 用 技术 、 入 侵 检测 系统 应 用 技术 、 统 一 网 关 应 用 
技术 等 ,以 及 针对 这 些 问题 的 解决 方法 。 本 书 在 每 个 章节 中 对 所 使 用 到 的 相关 安全 产品 的 基本 配置 、 基 
本 界面 、 功 能 配置 都 给 予 了 详细 的 讲解 ,以 帮助 读者 熟悉 产品 的 使 用 ,并 进一步 诠释 其 在 工程 项 目 中 的 
实施 方法 。 

本 书 可 作为 高 等 院 校 计算 机 科学 与 技术 .通信 工程 .计算 机 网 络 等 相关 专业 本 科 生 或 研究 生 学 习 和 
研究 网 络 安 全 产品 及 技术 的 实验 教材 ,还 可 作为 网 络 安全 专业 认证 的 培训 教材 ,以 及 网 络 设计 师 、 网 络 
工程 师 .系统 集成 工程 师 以 及 其 他 专业 技术 人 员 在 工作 中 遇 到 网 络 安全 问题 时 的 技术 参考 用 书 。 
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出 版 说 明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 、 企 业经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 , 全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
目前 信息 安全 人 才 极度 匮乏 , 远 远 不 能 满足 金融 . 商业、 公安、 军事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 、 通 信 、 物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 , 因 此 中 国 计 算 机 学 会 教 
育 专 业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 ”等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 ”编审 委 
员 会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,共同 指导 
“高 等 院 校 信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 研究 先行 的 指 
导 原 则 ,认真 研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 , 进 
行 了 大 量 前 脆性 的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安全 专业 的 
发 展 不 断 深入 。 经 过 编 委 会 全 体委 员 及 相关 专家 的 推荐 和 审定 ,确定 了 本 从 
书 首 批 教材 的 作者 ,这 些 作者 既 在 本 专业 领域 有 深厚 的 学 术 造 褒 , 又 有 在 教 
学 第 一 线 有 丰富 的 教学 经 验 。 

本 系列 教材 是 我 国 第 一 套 专 门 针 对 信息 安全 专业 的 教材 ,其 特点 是 : 

Q@ 体系 完整 .结构 合理 、 内 容 先 进 。 

名 适应 面 广 : 能 够 满足 信息 安全 、 计 算 机 、 通 信和 工程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

G@) 立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 、 习 题 与 实验 指导 等 。 

@ 版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

为 了 保证 出 版 质量 ,我 们 坚持 宁 缺 址 滥 的 原则 ,成 熟 一 本 ,出 版 一 本 ,并 
保持 不 断 更 新 ,力求 将 我 国信 息 安 全 领域 教育 、 科 研 的 最 新 成 果 和 成 熟 经 验 
反映 到 教材 中 来 。 在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专 
家 的 推荐 和 审定 , 遵 选 了 一 批 国 外 信息 安全 领域 优秀 的 教材 如 入 到 本 系列 教 
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材 中 ,以 进一步 满足 大 家 对 外 版 书 的 需求 。 热 切 期 望 广 大 教师 和 科研 工作 者 加 入 我 们 的 
队伍 ,同时 也 欢迎 广大 读者 对 本 系列 教材 提出 宝贵 意见 ,以 便 我 们 对 本 系列 教材 的 组 织 、 
编写 与 出 版 工作 不 断 改 进 , 为 我 国信 息 安全 专业 的 教材 建设 与 人 才 培 养 做 出 更 大 的 贡献 。 

“高 等 院 校 信息 安全 专业 系列 教材 ”已 于 2006 年 初 正式 列 和 人 普通 高 等 教育 “十 一 五 ” 
国家 级 教材 规划 ( 见 教 高 [2006]9 号 文件 《教育 部 关于 印发 普通 高 等 教育 “十 一 五 ”国家 级 
教材 规划 选 题 的 通知 》》 。 我 们 会 严 把 出 版 环节 ,保证 规划 教材 的 编校 和 印刷 质量 ,按时 完 
成 出 版 任务 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 暨 第 一 次 会 
议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 主任 单 
位 北京 工业 大 学 和 北京 电子 科技 学 院 主 办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 等 学 校 信息 
安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安全 专业 的 发 展 将 起 到 重要 的 指导 和 推动 
作用 。“ 高 等 院 校 信息 安全 专业 系列 教材 ”将 在 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 
委员 会 的 组 织 和 指导 下 ,进一步 体现 科学 性 、 系 统 性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 
建设 的 新 成 果 , 并 随 着 我 国信 息 安全 学 科 的 发 展 不 断 修 订 和 完善 。 

我 们 的 E-mail: zhangmC@tup. tsinghua. edu. cn; 联 系 人 : 张 民 。 


Ps 一 
HY 二 


随 着 21 世纪 的 到 来 ,人 类 步 和 信息 社会 ,信息 产业 成 为 全 球 经 济 发 展 的 
主导 产业 ,计算 机 科学 与 技术 在 信息 产业 中 占据 了 重要 的 地 位 。 随 着 互联 网 
技术 的 普及 和 推广 ,网 络 技术 更 是 信息 社会 发 展 的 推动 力 , 人 们 在 日 常 学 习 、 
生活 和 工作 中 都 越 来 越 依 赖 于 网 络 , 因 此 关于 信息 技术 、 信 息 安全 技术 、 网 络 
安全 技术 的 发 展 成 为 越 来 越 重要 的 学 科 。 

互联 网 技术 的 发 展 改 变 了 人 们 的 生活 ,信息 安全 的 内 涵 已 发 生 了 根本 变 
化 。 安 全 已 从 一 般 性 的 安全 防卫 , 变 成 了 一 种 非常 普通 的 安全 防范 ;从 一 种 
研究 型 的 学 科 , 变 成 了 无 处 不 在 ,影响 人 们 学 习 、 生 活 和 工作 的 安全 技术 。 技 
术 的 普及 也 推动 了 社会 对 人 才 的 需求 ,因此 建立 一 套 完整 的 网 络 安全 课程 教 
学 体系 ,提供 体系 化 的 安全 专业 人 才 培 养 计 划 ,培养 一 批 精通 安全 技术 的 专 
业 人 才 队 伍 , 对 目前 高 校 计 算 机 网 络 安全 方向 专业 人 才 培 养 来 说 ,显得 尤为 

1 关于 教材 开发 背景 

结合 国家 十 二 五 本 科 计 算 机 专业 课程 规划 体系 ,深入 领会 教育 部 计算 机 
科学 与 技术 教学 指导 委员 会 编制 的 “计算 机 科学 与 技术 专业 规范 的 知识 体系 
和 课程 大 纲 ” 文 件 精神 ,为 及 时 反映 目前 网 络 安全 专业 学 科 发 展 动态 ,创新 网 
络 教材 编辑 委员 会 组 织 编 写 了 本 书 。 和 希望 本 书 中 的 网 络 安全 知识 内 容 , 既 重 
视 理 论 .方法 和 标准 的 介绍 ,又 兼顾 技术 .系统 和 应 用 分 析 , 在 内 容 结构 和 知 
识 点 布局 上 能 有 所 创新 。 

此 外 , 随 着 互联 网 技术 的 普及 和 推广 ,人 们 日 常 学 习 和 工作 依赖 网 络 的 
比重 增加 ,计算 机 网 络 安全 的 实施 和 防范 技术 ,成 为 目前 最 为 瞩目 的 学 习 内 
容 。 因 此 ,创新 网 络 教材 编辑 委员 会 选择 网 络 安全 技术 在 生活 中 的 具体 应 用 
作为 教材 开发 主线 ,规划 出 面向 实际 工程 案例 ,可 操作 、 可 应 用 、 可 实施 的 网 
络 安全 技术 教程 。 同 时 希望 策划 的 安全 技术 直观 .形象 .具体 .可 实施 ,选编 
和 策划 的 安全 知识 具有 专业 化 、 体 系 化 、 全 面 化 特征 ,能 体现 和 代表 当前 最 新 
的 网 络 安全 技术 发 展 方向 。 


2 关于 教材 开发 指导 思想 

通过 市 场 调查 发 现 ,目前 市 场 上 指导 计算 机 网 络 安全 实践 教学 内 容 的 教 
材 非常 匮乏 。 翻 阅 市 场 上 品种 有 限 的 网 络 安 全 类 教材 ,都 侧重 于 网 络 安全 理 
论 诠释 ,而 针对 实际 网 络 安全 工程 实施 、 可 在 课堂 中 动手 实践 的 安全 类 教材 
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很 少 。 因 此 ,创新 网 络 教材 编辑 委员 会 邀请 国内 院 校 专家 ,组 织 来 自 一 线 的 专业 工程 师 ， 
联合 开发 了 这 本 窗 盖 网 络 安全 技术 专业 教程 的 教材 ,希望 着 重 培养 学 生 对 网 络 安全 技术 
的 动手 实践 能 力 。 

和 同类 以 网 络 安全 技术 为 研究 方向 的 专业 书籍 相 比 , 本 书 更 注重 解决 实际 工作 中 遇 
到 的 安全 问题 的 能 力 。 全 书 以 安全 技术 应 用 为 主线 ,以 培养 学 生 安 全 问题 解决 能 力 为 目 
标 , 以 加 强 实际 安全 技能 锻炼 为 根本 ,满足 学 校 安 全 类 课程 实践 教学 的 需求 。 因 此 ,本 书 
在 开发 过 程 中 ,强化 了 实践 教学 能 力 的 培养 ,着 重 讲授 生活 中 的 网 络 安 全 问题 ,诠释 相应 
的 安全 策略 配置 。 最 终 依 据 学 校 提供 的 安全 实践 教学 平台 ,直观 .形象 地 诠释 安全 技术 ， 
帮助 学 生理 解 抽象 的 网 络 安 全 专业 理论 。 


3 关于 教材 开发 内 容 

本 书 是 针对 高 等 院 校 计算 机 科学 与 技术 .通信 工程 .网 络 工程 等 相关 专业 ,在 学 习 基 
础 网 络 安 全 理论 时 ,开发 的 配套 网 络 安全 实验 教程 。 全 书 详细 地 介绍 了 组 建 局 域 网 安全 
过 程 中 , 遇 到 的 安全 问题 ,使 用 了 多 项 安全 产品 及 其 安全 技术 ,包括 网 络 防火 墙 .IDS 入 侵 
检测 系统 、USG 统一 网 关 和 一 个 综合 网 络 安全 实践 教程 。 全 书 在 每 个 章节 中 对 这 些 安全 
= 品 的 基本 配置 、 基 本 界面 、 功 能 配置 都 给 予 了 详细 的 讲解 ,帮助 读者 深入 了 解 网 络 安全 
项 目的 设计 与 实施 。 通 过 对 本 书 全 部 内 容 的 学 习 , 读 者 更 易 牢固 掌握 安全 技术 ,从 而 熟悉 
实施 方案 。 

全 书包 括 近 40 个 难度 不 同 的 网 络 安全 实验 内 容 , 适 合 学 生 循序 渐进 地 学 习 。 本 书 还 
可 作为 高 等 院 校 计算 机 科学 与 技术 .通信 工程 .计算 机 网 络 等 相关 专业 本 科 生 或 研究 生计 
算 机 网 络 工 程 课程 的 实验 教材 。 全 书 的 实验 设计 和 安排 ,以 实际 工程 项 目的 需求 为 依据 ， 
旨 在 加 深 学 生 对 网 络 安全 工程 所 涉及 的 基础 理论 知识 的 透彻 理解 ,从 而 提高 学 生 网 络 安 
全 工程 相关 的 动手 实践 能 力 ,分 析 问 题 和 解决 问题 的 能 力 。 


4 关于 教材 使 用 方法 

通过 全 书 提供 的 近 40 个 安全 技术 实验 的 训练 ,帮助 学 生 熟 练 掌握 网 络 安全 工程 师 所 
必 备 的 基本 实践 技能 。 所 有 实验 操作 都 以 日 常安 全 需求 为 主线 串 接 知 识 , 以 问题 解决 过 
程 作为 核心 。 因 此 教师 在 使 用 本 书 时 ,可 作为 相关 安全 理论 学 习 完 成 之 后 的 实验 补充 , 帮 
助 学 生 加 强 对 抽象 安全 理论 的 理解 。 也 可 以 根据 教学 的 实际 情况 ,从 中 选择 部 分 实验 教 
学 内 容 , 要 求学 生 在 学 完 理 论 之 后 ,完成 适当 数量 和 难度 的 实验 以 补充 理论 讲解 知识 的 不 
足 。 由 于 书 中 全 部 内 容 都 来 自 实际 工程 案例 的 总 结 , 因 此 ,本 书 可 作为 就 业 前 实习 用 书 ， 
通过 对 一 定数 量 的 安全 工程 案例 的 学 习 , 从 而 积累 实际 中 遇 到 的 安全 施工 经 验 , 以 增强 安 
全 类 工程 施工 的 能 力 和 排除 故障 的 能 力 。 


5 关于 课程 环境 安排 

本 书 覆 盖 计算 机 网 络 安全 规划 、 组 建 和 配置 中 涉及 的 主流 网 络 安全 设备 配置 管理 技 
术 , 书 中 所 有 工程 项 目 都 来 自 于 企业 多 年 积累 的 工程 案例 。 经 过 一 线 教师 和 企业 工程 师 
的 提炼 ,按照 再 现 企业 工程 项 目的 方式 进行 组 织 串 接 , 每 个 工程 项 目 都 详细 介绍 了 工程 名 
称 、 工 程 背景 ,技术 原理 .工程 设备 .工程 拓扑 、 工 程 规划 .工作 过 程 、 结 果 验 证 等 多 个 环节 ， 
循序 渐进 展现 企业 工程 项 目 ,并 把 这 些 工 程 项 目 在 网 络 实验 室 中 搭建 出 来 。 
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PRE 二 


为 顺利 实施 本 教程 ,每 个 课程 学 习 者 , 除 需 要 对 网 络 技术 有 学 习 的 热情 之 外 ,还 需 具 
备 基 本 的 计算 机 、 网 络 、 安 全 基础 知识 。 这 些 基础 知识 提供 了 良好 的 脚手架 ,帮助 读者 理 
解 本 书 中 的 网 络 技术 原理 ,为 网 络 技 术 的 进 阶 提 供 良好 帮助 。 为 更 好 地 实施 这 些 安全 实 
验 内 容 , 需 要 为 本 课程 提供 一 个 可 实施 交换 、 路 由 和 安全 技术 的 网 络 环境 ,从 而 再 现 这 些 
网 络 工 程 项 目 , 以 方便 本 教材 的 有 效 实 施 。 这 种 课程 工作 环境 包括 : 一 个 可 以 容纳 40 人 
左右 的 网 络 实验 室 ;不 少 于 4 组 的 工作 台 。 每 组 工作 台中 包括 组 建 基 本 网 络 的 网 络 实验 
设备 : 二 层 交 换 机 设备 .三 层 交 换 机 设备 、 模 块 化 路 由 器 设备 网络 防火 墙 \ 人 侵 检测 系统 
IDS、 统 一 网 关 设 备 .测试 计算 机 设备 和 若干 根 网络 连 接线 (或 制作 工具 ) 。 

本 书 选 择 的 工程 项 目 来 自 厂商 的 案例 ,使 用 的 网 络 实验 设备 也 来 自 厂商 ,但 本 课程 在 
策划 中 ,力求 全 部 的 知识 讲解 和 技术 选择 都 具有 通用 性 ,以 遵循 行业 内 的 通用 技术 标准 。 
全 书 关于 设备 的 功能 描述 ,接口 的 标准 、 技 术 的 诠释 ,协议 的 细节 分 析 、 命 令 语 法 的 解释 、 
命令 的 格式 .操作 规程 ,图标 和 拓扑 图 形 的 绘制 方法 都 使 用 行业 内 的 通用 技术 标准 ,以 加 
强 其 通用 性 。 

6 关于 课程 时 间 安 排 

本 书 通过 加 强 对 学 生 网 络 安全 设备 的 实践 操作 ,积累 企业 一 线 网 络 安全 工程 实施 经 
验 , 让 学 生 可 以 深入 地 理解 和 掌握 网 络 安全 设备 的 配置 和 和 运行 机 制 , 了 解 网 络 安全 项 目 发 
生 的 场景 和 实施 过 程 。 此 外 ,借助 网 络 安全 实践 教学 平台 ,读者 还 可 以 学 习 网 络 安全 设 
计 、 网 络 攻防 和 故障 性 能 分 析 等 相关 知识 。 从 而 加 强 学 生 对 网 络 安全 技术 的 理解 和 掌握 ， 
以 培养 学 生 的 动手 实践 和 设计 分 析 能 力 ,培养 新 型 人 才 。 

本 书 可 作为 高 等 院 校 计算 机 科学 与 技术 .通信 工程 .计算 机 网 络 等 相关 专业 本 科 生 或 
研究 生 学 习 和 研究 网 络 安全 技术 的 实验 教材 。 其 前 导 性 的 课程 包括 计算 机 网 络 、 局 域 网 
组 建 . 路 由 和 交换 技术 等 基础 性 网 络 技术 。 本 课程 的 课时 在 36 一 72 学 时 ,根据 学 校 具体 
教学 时 间 安 排 ,读者 可 选择 全 部 的 内 容 作为 实验 对 象 .也 可 选择 部 分 学 习 内 容 。 课 程 时 间 
安排 一 般 在 第 三 年 学 期 段 。 学 生 在 全 面 学 习 专 业 组 网 技术 后 ,作为 学 生 学 完 基 础 网 络 技 
术 的 提高 和 补充 。 此 外 还 可 以 作为 网 络 安全 专业 认证 的 培训 教材 ,以 及 网 络 设计 师 、 网 络 
工程 师 、 系 统 集成 工程 师 以 及 其 他 专业 技术 人 员 在 实际 工作 中 遇 到 网 络 安全 问题 时 的 技 
术 参 考 用 书 。 


7 关于 课程 资源 
不 同 的 网 络 专业 课程 教学 都 具有 其 本 身 的 针对 性 ,强化 网 络 安全 专业 实践 能 力 ,强化 
安全 技术 应 用 和 网 络 安全 技能 培养 ,是 本 课程 区 别 于 传统 网 络 安全 专业 课程 的 特色 之 一 。 
无 论 是 前 期 为 保证 本 课程 的 有 效 实施 ,在 课程 实施 环境 (网 络 实验 室 ) 上 投入 的 资金 ,还 是 
在 课程 规划 思想 上 的 创新 ,以 及 在 本 课程 研发 上 投入 的 人 力 都 具有 优势 。 
为 有 效 保证 本 课程 在 学 校 的 实施 ,保证 课程 教学 资源 的 长 期 提供 一 一 案例 的 及 时 提 
供 、 安 全 技术 的 更 新 、 新 技术 的 学 习 、 课 程 学 习 中 的 技术 交流 和 讨论 等 ,本 课程 的 研发 队伍 
还 专门 投入 人 力 和 物力 ,为 本 课程 建设 专门 的 课程 网 络 资源 共享 基地 ,以 有 效 支持 课程 在 
实施 的 过 程 中 ,安全 项 目 资源 的 更 新 ,疑难 问题 的 解决 ,课程 实施 方案 的 讨论 等 一 系列 服 
务工 作 ,详细 内 容 可 以 访问 本 课程 实施 相关 网 站 : http://www. labclub. com. cn, 可 以 获 
FP 
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得 更 多 的 资源 支持 。 


8 关于 课程 开发 队伍 

本 书 由 创新 网 络 教材 编辑 委员 会 组 织 院 校 教 学 一 线 的 专家 队伍 ,来 自 厂商 的 工程 师 
联合 编写 而 成 。 这 些 工作 在 各 行业 的 专家 ,把 自己 多 年 来 在 各 自 领 域 中 积累 的 网 络 安全 
技术 教学 和 应 用 的 工作 经 验 , 以 及 对 网 络 安全 技术 的 深刻 理解 融入 本 书 中 。 

本 书 第 一 作者 黄 传 河 博士 ,是 武汉 大 学 计算 机 学 院 教授 .博士 生 导师 。 黄 传 河 博士 主 
要 研究 方向 为 计算 机 网 络 ( 如 移动 互联 网 .移动 Ad Hoc 网 络 、 无 线 传感器 网 络 、 无 线 
Mesh 网 络 、WDM 网 络 、 网 络 互联 ) ,网 络 安全 ,分 布 并 行 处 理 , 量 子 计算 。 其 在 计算 机 网 
络 及 网 络 安全 领域 多 年 具 前 上 脆性 的 研究 ,为 全 书 提供 了 技术 方向 引导 , 统 编 了 教学 应 掌握 
的 安全 技术 知识 点 ,并 为 保证 最 终 技 术 准 确 性 承担 了 审阅 工作 。 

本 书 第 二 作者 喻 涛 工程 师 , 是 武汉 大 学 计算 机 学 院 博 士 , 星 网 锐 捷 网 络 有 限 公 司 高 级 
工程 师 。 喻 涛 博士 曾 先 后 在 中 国电 信 、 中 国 网 通 和 锐 捷 网 络 工作 ,有 多 年 在 网 络 一 线 从 事 
售 前 工程 师 的 工作 背景 ,参与 过 多 个 运营 商 网 络 工 程 规划 、 施 工 和 企业 网 整 网 安全 的 规 
划 、 实 施工 作 , 具 有 丰富 的 实际 网 络 技术 应 用 能 力 ,故障 排除 解决 和 整 网 安全 防范 实施 能 
力 。 甚 多 年 在 网 络 一 线 的 工作 背景 ,参与 过 多 个 网 络 工程 整 网 安全 的 规划 、 实 施 的 经 历 ， 
对 全 书 再 现 企业 的 实际 安全 工程 需求 ,安全 技术 的 选择 和 应 用 ,按照 企业 工作 过 程 实施 流 
程 等 都 起 到 重要 作用 ,他 还 承担 了 全 书 的 资料 整理 和 编撰 工作 。 

王 昭 顺 教授 ,博士 生 导 师 ,北京 科技 大 学 计算 机 系 主任 。 王 昭 顺 博士 主要 从 事 信息 安 
全 技术 ,ASIC 芯片 设计 ,软件 技术 研究 ;承担 "863”,“973”,“ 国 家 自然 科学 基金 ”多 项 项 
目 。 其 多 年 从 事 网 络 安全 信息 安全 研究 员 的 经 历 ,为 全 书 技术 细节 的 解释 ,安全 技术 准 
确 性 的 描述 起 到 重要 把 关 作 用 。 

此 外 ,在 本 书 的 编写 过 程 中 .还 得 到 了 其 他 一 线 教师 ,技术 工程 师 , 产 品 经 理 安 淑 梅 、 
汪 双 顶 、 李 文 宇 方 洋 、 张 选 波 .高 峡 、 杨 靖 、 张 勇 、. 蔡 区 等 的 大 力 支持 。 他 们 积累 的 多 年 的 
来 自 教学 和 工程 一 线 的 工作 经 验 ,都 为 本 书 的 真实 性 .专业 性 以 及 方便 在 学 校 教学 .方便 
实施 给 予 了 有 力 的 支持 。 

本 书 策划 编辑 的 过 程 历经 近 三 年 的 时 间 :前 后 经 过 多 次 的 修订 ,得 到 了 很 多 同仁 的 
大 力 支 持 , 由 于 编写 水 平 有 限 ,错漏 之 处 在 所 难免 ,和 敬 请 广大 读者 指正 (labserv@ruijie 


. com. cn) 。 


创新 网 络 教材 编辑 委员 会 


使 用 说 明 一 


为 帮助 学 生 全 面 理解 安全 技术 细节 ,建立 直观 的 网 络 安全 印象 ,本 书 每 
个 实验 在 开始 时 都 为 读者 引入 一 个 来 自 企 业 的 真实 网 络 安 全 问题 ,从 而 营造 
教学 、 学 习 环 境 , 让 读者 深入 到 网 络 安全 的 场景 环境 中 ,以 了 解 本 书 安全 知识 
内 容 发 生 在 真实 网 络 工程 项 目 中 实际 的 场景 ,了 解 相 应 的 在 施工 中 需要 的 
技术 。 

在 全 书 关 键 技术 解释 和 工程 方案 实施 中 ,会 涉及 一 些 网 络 专业 术语 和 词 
汇 。 为 方便 大 家 今后 在 工作 中 的 实际 应 用 ,全 书 采 用 行业 标准 的 技术 和 图 形 
绘制 方案 。 全 书 中 使 用 的 相关 符号 .网络 拓 扑 图 形 惯 有 的 风格 和 惯例 ,以 及 
本 书 使 用 的 命令 语法 规范 约定 如 下 : 

。 竖 线 “|” 表 示 分 隔 符 , 用 于 分 开 可 选择 的 选项 。 

。 星 号 “x” 表示 可 以 同时 选择 多 个 选项 。 

。 方 括号 “[ ]” 表 示 可 选项 。 

。 大 括号 “{ }” 表 示 必 选项 。 

。 粗 体 字 表 示 按 照 显 示 的 文字 输入 的 命令 和 关键 字 。 在 配置 的 示例 和 

输出 中 , 粗 体 字 表 示 需 要 用 户 手工 输入 的 命令 (例如 show 命令 ) 。 

。 冬 休 字 表示 需要 用 户 输入 的 具体 值 。 

以 下 为 本 书 中 所 使 用 的 图 标示 例 。 
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磁带 库 磁盘 阵列 防火 墙 VPN 网 关 “IDS 入 侵 IPS 入 
检测 系统 你 付 


感谢 网 络 产品 和 方案 提供 商 星 网 锐 捷 网 络 有 限 公 司 ,为 全 书 提供 多 个 ,来 自 不 同行 业 
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11 ”什么 是 防火 墙 


防火 墙 的 本 义 是 指 古 代 构 筑 木 制 结构 房屋 时 ,为 了 防止 火灾 的 发 生 和 蔓延 ,人 们 将 坚 
固 的 石 块 堆 砌 在 房屋 周围 作为 屏障 ,这 种 防护 构筑 物 就 被 称 为 防火墙 5。 这 道 墙 可 以 防 
止 火灾 发 生 时 草 延 到 别 的 房屋 。 当 火灾 发 生 时 ,这 种 防护 构筑 物 对 房屋 中 的 人 起 到 保护 
作用 。 

今天 网 络 中 通常 所 说 的 网 络 防火 墙 ,是 借鉴 了 古代 防火 墙 的 喻 义 , 它 指 的 是 隔离 在 本 
地 网 络 与 外 界 网 络 之 间 的 一 道 防御 系统 ,是 对 所 有 实施 网 络 安全 防范 措施 的 总 称 。 防 火 
墙 英文 名 称 为 FireWall, 设 置 在 不 同 网 络 之 间 , 如 可 信任 的 企业 内 网 和 不 可 信 的 公共 网 
(Internet) 之 间 , 或 位 于 计算 机 和 它 所 连接 的 网 络 之 间 的 硬件 或 软件 的 组 合 ,如 图 1-1 所 
示 。 防 火 墙 可 以 使 企业 内 部 局 域 网 (LAN) 与 Internet 之 间或 者 与 其 他 外 部 网 络 互相 隔 
离 、 限 制 网 络 互 访 以 保护 内 部 网 络 。 


,企业 网 Ne FieWal 


和 WN 、 


图 1-1 设置 在 内 网 和 Internet 间 的 防火 墙 


在 互联 网 上 防火 墙 是 一 种 非常 有 效 的 网 络 安全 模型 ,通过 它 可 以 隔离 风险 区 域 ( 即 
Internet 或 有 一 定 风险 的 网 络 ) 与 安全 区 域 ( 局 域 网 ) 的 连接 ,同时 不 会 妨碍 人 们 对 风险 区 
域 的 访问 。 防 火 墙 可 以 监控 进出 网 络 的 通信 量 , 从 而 完成 看 似 不 可 能 完成 的 任务 ;只 让 安 
全 的 信息 进入 ,抵制 了 对 企业 构成 威胁 的 数据 。 

防火 墙 多 见于 两 个 或 多 个 网 络 之 间 , 是 不 同 网 络 间 信息 的 唯一 出 入 口 。 网 络 间 所 有 
数据 流 都 要 经 过 防火 墙 ,由 防火 墙 提 供 网 络 间 的 信息 安全 服务 ,防火墙 根据 企 业 网 的 安全 
政策 ,控制 .允许 ,拒绝 、 监 测 出 入 网 络 间 的 信息 流 , 提 供 安全 防范 保护 功能 ,而 且 防 火 墙 本 
身 也 具有 较 强 的 抗 攻击 能 力 。 

一 般 的 防火 墙 都 可 以 达到 以 下 目的 : 一 是 可 以 限制 他 人 进入 内 部 网 络 ,过 滤 不 安全 
服务 和 非法 用 户 ; 二 是 防止 人 侵 者 接近 防御 设施 ;三 是 限定 用 户 访问 特殊 站 点 ;四 是 为 监 
视 Internet 安全 提供 方便 。 由 于 防火 墙 假设 了 网 络 边界 和 服务 ,因此 更 适合 于 相对 独立 
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的 网 络 。 例 如 ,Intranet 等 种 类 相对 集中 的 网 络 。 防 火 墙 正 在 成 为 控制 对 网 络 系 统 访问 
非常 流行 的 方法 。 事实 上 ,在 Internet 上 的 Web 网 站 中 ,超过 1/3 的 Web 网 站 都 是 由 某 
种 形式 的 防火 墙 来 加 以 保护 的 ,这 是 对 黑客 防范 最 严 、 安 全 性 较 强 的 一 种 方式 ,建议 任何 
关键 性 的 服务 器 都 放 在 防火 墙 之 后 。 

防火 墙 可 以 监控 进出 网 络 的 通信 量 , 从 而 完成 看 似 不 可 能 完成 的 任务 : 仅 让 安全 通 
过 验证 的 信息 进入 ,同时 又 抵制 对 企业 网 络 构成 威胁 的 数据 。 随 着 网 络 上 安全 性 问题 的 
失误 和 缺陷 越 来 越 普 遍 , 对 网 络 的 人 侵 不 仅 来 自 高 超 的 攻击 手段 ,也 有 可 能 来 自 配 置 上 的 
低级 错误 或 选择 了 不 合适 的 口令 。 因 此 ,防火 墙 的 作用 是 防止 恶意 的 、 未 授权 的 通信 进出 
被 保护 的 网 络 ,迫使 企业 强化 自己 的 网 络 安全 政策 。 


1.2 ”防火 墙 的 功能 


在 逻辑 上 ,防火墙 是 一 个 分 离 器 ,一 个 限制 器 ,也 是 一 个 分 析 器 ,有 效 地 监控 了 内 部 网 
和 Internet 之 间 ,或 者 内 部 网 络 之 间 的 任何 活动 。 防 火 墙 可 以 对 网 络 之 间 的 通信 进行 扫 
描 , 关 闭 不 安全 的 端口 ,阻止 外 来 的 DoS 攻击 ,封锁 木马 的 传播 路 径 等 ,以 保证 网 络 安全 。 

典型 意义 上 的 防火 墙 设备 具有 三 个 方面 的 基本 特性 : 内 部 网 络 和 外 部 网 络 之 间 的 所 
有 数据 流 都 必须 经 过 防火 墙 ;只 有 符合 安全 策略 的 数据 流 才能 通过 防火 墙 ;防火 墙 自身 具 
有 非常 强 的 抗 攻击 免疫 力 。 

。 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 流 都 必须 经 过 防火 墙 。 

这 是 防火 墙 所 处 网 络 位 置 的 特性 ,同时 也 是 一 个 前 提 。 因 为 只 有 当 防 火 墙 是 内 、 外 部 
网 络 之 间 通 信 的 唯一 通道 , 才 可 以 全 面 有 效 地 保护 企业 网 络 不 受 侵害 。 

根据 美国 国家 安全 局 制定 的 《信息 保障 技术 框架 》, 防 火 墙 适用 于 用 户 网 络 系统 的 边 
界 , 属 于 用 户 网 络 边界 的 安全 保护 设备 。 所 谓 网 络 边界 即 是 采用 不 同安 全 策略 的 两 个 网 
络 连接 处 ,例如 用 户 网 络 和 互联 网 之 间 连 接 . 和 其 他 业务 往来 单位 的 网 络 连接 ,用户 内 部 
网 络 不 同 部 门 之 间 的 连接 等 。 防 火 墙 的 目的 就 是 在 网 络 连接 之 间 建 立 一 个 安全 控制 点 ， 
通过 允许 ,拒绝 或 重新 定向 经 过 防火 墙 的 数据 流 , 实 现 对 进 、 出 内 部 网 络 的 服务 和 访问 的 
审计 和 控制 。 

典型 的 防火 墙 体系 网 络 结构 如 图 1-2 所 示 。 从 图 1-2 中 可 以 看 出 ,防火 墙 的 一 端 连 
接 企 事业 单位 内 部 的 局 域 网 ,而 另 一 端 则 连接 互联 网 。 所 有 的 内 、 外 部 网 络 之 间 的 通信 都 
要 经 过 防火 墙 。 

。 只 有 符合 安全 策略 的 数据 流 才 能 通过 防火 墙 。 

防火 墙 最 基本 的 功能 是 确保 网 络 流量 的 合法 性 ,并 在 此 前 提 下 将 网 络 的 流量 快速 地 
从 一 条 链 路 转发 到 另外 的 链 路 上 去 。 从 最 早 的 防火 墙 模型 开始 谈 起 ,原始 的 防火 墙 是 一 
台 “ 双 穴 主 机 ”, 即 具备 两 个 网 络 接口 ,同时 拥有 两 个 网 络 层 地 址 。 防 火 墙 将 网 络 上 的 流量 
通过 相应 的 网 络 接口 接收 上 来 ,按照 OSI 协议 栈 的 七 层 结构 顺序 上 传 ,在 适当 的 协议 层 
进行 访问 规则 和 安全 审查 ,然后 将 符合 通过 条 件 的 报 文 从 相应 的 网 络 接口 送出 ,而 对 于 那 
些 不 符合 通过 条 件 的 报 文 则 子 以 阻 断 。 
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图 1-2 设置 在 企业 网 和 Internet 间 的 防火 墙 


因此 ,从 这 个 角度 上 来 说 ,防火 墙 是 一 个 类 似 于 桥接 或 路 由 器 的 、 多 端口 的 (网 络 接 
口 宇 2) 转 发 设备 , 它 跨 接 于 多 个 分 离 的 物理 网 段 之 间 , 并 在 报 文 转发 过 程 中 完成 对 报 文 的 
审查 工作 ,如 图 1-3 所 示 。 


1-3 防火墙 完 成 对 报 文 的 审查 


。 防火 墙 自身 应 具有 非常 强 的 抗 攻击 免疫 力 。 

这 是 防火 墙 之 所 以 能 担当 企业 内 部 网 络 安全 防护 重任 的 先决 条 件 。 防 火 墙 处 于 网 络 
边缘 , 它 就 像 一 个 边界 卫士 ,每 时 每 刻 都 要 面 对 黑客 的 人 侵 ,这 样 就 要 求 防火 墙 自身 具 有 
非常 强 的 抗击 人 侵 本 领 。 之 所 以 具有 这 么 强 的 本 领 ,防火墙 操作 系统 本 身 是 关键 ,只 有 自 
身 具 有 完整 信任 关系 的 操作 系统 才 可 以 谈论 系统 的 安全 性 。 其 次 就 是 防火 墙 自身 具有 非 
常 低 的 服务 功能 ,除了 专门 的 防火 墙 谋 入 系统 外 ,再 没有 其 他 应 用 。 

所 有 进出 的 信息 都 必须 通过 防火 墙 的 验证 ,防火 墙 便 成 为 安全 问题 的 检查 点 ,可疑 的 
访问 被 拒绝 于 门 外 。 但 防火 墙 在 防范 网 络 时 也 具有 很 多 不 足 的 地 方 ,防火 墙 的 缺点 主要 
表现 在 以 下 几 个 方面 。 

(1) 不 能 防范 恶意 的 知情 者 。 

防火 墙 可 以 禁止 系统 用 户 经 过 网 络 连接 发 送 专 有 的 信息 ,但 用 户 可 以 将 数据 复制 到 
磁盘 、 磁 带 上 , 放 在 公文 包 中 带 出 去 。 如 果 和 人 侵 者 已 经 在 防火 墙 内 部 ,防火 墙 是 无 能 为 力 
的 。 内 部 用 户 可 以 偷窃 数据 ,破坏 硬件 和 软件 ,并 且 巧 妙 地 修改 程序 而 不 接近 防火 墙 。 对 
于 来 自 知情 者 的 威胁 ,只 能 加 强 内 部 管理 ,如 主机 安全 和 用 户 教育 等 。 
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(2) 不 能 防范 不 通过 它 的 连接 。 

防火 墙 能 够 有 效 地 防止 通过 它 的 传输 信息 ,然而 却 不 能 防止 不 通过 它 而 传输 的 信息 。 
例如 ,如 果 站 点 允许 对 防火 墙 后 面 的 内 部 系统 进行 拨号 访问 ,那么 防火 墙 绝对 没有 办 法 阻 
止 人 侵 者 进行 拨号 入侵 。 

(3) 不 能 防备 全 部 的 威胁 。 

防火 墙 被 用 来 防备 已 知 的 威胁 ,如 果 是 一 个 很 好 的 防火 墙 设 计 方案 ,就 可 以 防备 新 的 
威胁 ,但 没有 一 扇 防火 墙 能 自动 防御 所 有 新 的 威胁 。 

(4) 防火 墙 不 能 防范 病毒 。 

防火 墙 一 般 不 能 消除 网 络 上 的 病毒 。 
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防火 墙 实际 上 就 是 网 络 上 的 一 种 过 滤 塞 ,可 以 让 安全 的 信息 流通 过 这 个 塞 子 ,不 安全 
的 信息 都 统统 过 滤 掉 。 所 有 的 防火 墙 至 少 都 会 说 两 个 词 : Yes 或 者 No, 也 就 是 接受 或 者 
拒绝 。 防 火 墙 采用 的 技术 和 标准 可 谓 五 花 八 门 ,但 最 简单 的 防火 墙 模型 类 似 于 以 太 网 桥 
设备 ,但 几乎 没有 人 会 认为 这 种 原始 防火 墙 能 起 多 大 作用 。 

今天 防火 墙 的 形式 多 种 多 样 : 有 的 系统 上 已 经 装备 了 TCP/IP 协议 栈 ; 有 的 在 已 有 
的 协议 栈 上 建立 了 自己 的 软件 模块 。 还 有 一 些 应 用 型 的 防火 墙 只 对 特定 类 型 的 网 络 连接 
提供 保护 (比如 SMTP 或 者 HTTP 协议 等 ), 还 有 一 些 基 于 硬件 的 防火 墙 产 品 , 在 日 常 网 
络 的 应 用 中 ,把 以 上 的 产品 都 叫做 防火 墙 。 因 为 它们 的 工作 方式 都 是 一 样 的 : 分 析出 、 入 
防火 墙 的 数据 包 , 决 定 放行 还 是 阻止 通过 。 

所 有 的 防火 墙 都 具有 IP 地 址 数据 包 过 滤 功 能 ,这 项 任务 只 需要 检查 IP 数据 包头 部 
特征 信息 ,如 根据 其 IP 源 地 址 和 目标 地 址 , 即 可 作出 放行 /丢弃 决定 动作 。 包 过 滤 是 在 
IP 层 实 现 的 , 包 过 滤 根 据 包 的 源 IP 地 址 .目的 IP 地 址 、 源 端口 目的 端口 及 包 传递 方向 
等 报头 信息 来 判断 是 否 允 许 包 通 过 ,过 滤 用 户 定义 的 内 容 , 如 IP 地 址 ,如 图 1-4 所 示 。 其 
工作 原理 是 系统 在 网 络 层 检查 数据 包 ,与 应 用 层 无 关 。 包 过 滤 防 火 墙 的 应 用 非常 广泛 , 因 


版 本 (4) | 头 长 度 (9) TOS(8) 总 长 度 (16) 
标识 (16) 标志 (3) 段 偏 移 (13) 
TTL(8) 协议 (8) 校 验 和 (16) 
源 耳 地 址 (32) 
目的 四 地 址 (32) 
选项 (0 or 32 if any) 
数据 


图 1-4 IP 数 据 包头 部 特征 信息 


Eee 第 1 章 防火 墙 设备 基础 知识 


为 CPU 用 来 处 理 包 过 滤 的 时 间 可 以 忽略 不 计 。 而 且 这 种 防护 措施 对 用 户 透明 ,合法 用 
户 在 进出 网 络 时 ,根本 感觉 不 到 它 的 存在 ,使 用 起 来 很 方便 。 这 样 系统 就 具有 很 好 的 传输 
性 能 , 且 易 扩展 。 

但 是 这 种 防火 墙 不 太 安全 ,因为 包 过 滤 系 统 对 应 用 层 信 息 无 法 解析 ,也 就 是 说 , 它 
们 不 理解 通信 的 内 容 , 不 能 在 用 户 级 别 上 进行 过 滤 , 即 不 能 识别 不 同 的 用 户 和 防止 地 
址 的 次 用。 如 果 攻 击 者 把 自己 主机 的 IP 地 址 设 成 一 个 合法 主机 的 IP 地址 ,就 可 以 很 
轻易 地 通过 包 过 滤器 ,这 样 更 容易 被 黑客 攻破 。 基 于 这 种 工作 机 制 , 包 过 滤 防 火 墙 有 
以 下 缺陷 。 

(1) 通信 信息 : 包 过 滤 防 火 墙 只 能 访问 部 分 数据 包 的 头 信息 。 

(2) 通信 和 应 用 状态 信息 : 包 过 滤 防 火 墙 是 无 状态 的 ,所 以 它 不 可 能 保存 来 自 于 通 
信和 应 用 的 状态 信息 。 

(3) 信息 处 理 : 包 过 滤 防 火 墙 处 理 信息 的 能 力 是 有 限 的 。 

代理 服务 型 防火 墙 在 应 用 层 上 实现 防火 墙 功能 ,弥补 了 包 过 滤 防 火 墙 的 不 足 。 它 能 
提供 部 分 与 传输 有 关 的 状态 ,提供 与 应 用 相关 的 状态 ,解析 部 分 传输 的 信息 ,此 外 还 能 处 
理 和 管理 信息 。 


页 防火 墙 的 分 类 


目前 市 场 上 的 防火 墙 产品 非常 多 ,划分 的 标准 也 比较 杂 。 主 要 分 类 如 下 : 

。 从 软 、 硬 件 形式 上 分 为 软件 防火 墙 和 硬件 防火 墙 以 及 芯片 级 防火 墙 。 

。 从 防火 墙 技 术 上 分 为 “ 包 过 滤 型 "和 “应 用 代理 型 "两 大 类 。 

。 从 防火 墙 结构 上 分 为 单一 主机 防火 墙 路 由 器 集成 式 防火 墙 和 分 布 式 防火 墙 
3 种。 

。 按 防 火 墙 的 应 用 部 署 位 置 分 为 边界 防火 墙 个 人 防火 墙 和 混合 防火 墙 3 大 类 。 

。 按 防火 墙 性 能 分 为 百 兆 级 防火 墙 和 千 兆 级 防火 墙 两 类 。 


1.5 ”防火 墙 技 术 


传统 的 防火 墙 多 是 基于 访问 控制 列表 (ACL) 规 则 的 IP 包 过 滤 防 火 墙 ,一 般 安装 在 企 
业内 网 的 入 口 处 ,所 以 也 俗称 “边界 防火 墙 "。 随 着 网 络 安 全 事件 的 不 断 升级 ,防火 墙 技术 
也 得 到 了 新 的 发 展 ,出 现 了 一 些 新 的 防火 墙 技术 ,如 电路 级 网 关 技 术 、 应 用 网 关 技 术 和 动 
态 包 过 滤 技 术 。 在 实际 运用 中 ,这 些 技术 差别 非常 大 ,有 的 工作 在 网 络 层 , 有 的 工作 在 传 
输 层 , 还 有 的 工作 在 应 用 层 。 

从 技术 发 展 角度 来 看 ,尽管 防火 墙 技术 经 过 几 代 的 革新 ,出 现 了 很 多 不 同 的 品种 ,但 
是 按照 防火 墙 对 内 外 网 络 数据 的 处 理 方法 ,大 致 可 以 将 防火 墙 分 为 两 大 体系 : 包 过 滤 防 
火 墙 和 应 用 代理 防火 墙 (应 用 层 网 关 防火 墙 )。 
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1 包 过 滤 防 火 墙 

包 过 滤 (PacketFilter) 防 火 墙 是 防火 墙 常见 的 类 型 ,也 称 为 分 组 过 滤 防 火 墙 ,作用 在 
网 络 层 和 传输 层 。 包 过 滤 是 在 网 络 层 中 对 数据 包 实 施 有 选择 的 通过 ,其 技术 依据 是 网 络 
中 的 包 传 输 技术 。 在 互联 网 这 样 的 信息 包 交 换 网 络 上 ,所 有 往来 的 信息 都 被 分 割 成 许 许 
多 多 一 定 长 度 的 信息 包 , 包 中 包括 发 送 者 的 IP 地 址 和 接收 者 的 IP 地址。 网络 上 的 数据 
都 是 以 “ 包 ” 为 单位 进行 传输 ,数据 被 分 割 成 为 一 定 大 小 的 数据 包 , 每 一 个 数据 包 中 都 携带 
传输 数据 的 特征 信息 : 如 数据 的 源 地 址 目标 地 址 、TCP/UDP 源 端口 和 目标 端口 等 ,如 
图 1-5 所 示 。 


2. 数据 链 路 层 2. 数 玉 时 
1. 物理 层 1. 物理 层 


图 1-5 包 过 滤 防 火 墙 工作 模型 


包 过 滤 防 火 墙 判断 所 依据 的 信息 , 均 来 源 于 IP、TCP 或 UDP 包头 特征 信息 。 通 过 读 
取 数 据 包 头 中 的 特征 信息 ,来 判断 这 些 “ 包 ”是 否 来 自 可 信任 的 安全 网 络 ,从 而 确定 是 否 允 
许 数 据 包 通过 。 防 火 墙 依据 系统 事先 设 定好 的 过 滤 逻 辑 , 检 查 数据 流 中 的 每 个 数据 包 , 根 
据 数据 包 的 源 地 址 、 目 标 地 址 以 及 包 所 使 用 端口 确定 是 否 允 许 该 类 数据 包 通 过 。 只 有 满 
足 过 滤 规 则 的 数据 包 , 才 会 被 防火 墙 转发 到 相应 目标 网 络 接口 。 一 旦 发 现 有 来 自 危 险 网 
络 的 特征 数据 包 , 依 据 预 先 配 置 的 过 滤 规 则 ,防火墙 便 会 将 这 些 数据 拒 之 门 外 。 

包 过 滤 防 火 墙 会 检查 所 有 通过 信息 包 中 的 IP 地 址 ,并 按照 系统 管理 员 所 给 定 的 过 
滤 规 则 过 滤 信 息 包 。 如 果 防 火 墙 设 定 某 一 个 卫 为 危险 的 话 , 从 这 个 地 址 而 来 的 所 有 信 
息 都 会 被 防火 墙 屏蔽 掉 。 包 过 滤 路 由 器 的 最 大 优点 就 是 它 对 于 用 户 来 说 是 透明 的 ,也 
就 是 说 不 需要 用 户 名 和 密码 来 登录 。 这 种 防火 墙 速度 快 而 且 易 于 维护 ,通常 作为 第 一 

包 过 滤 路 由 器 的 整 端 也 是 很 明显 的 ,通常 它 没有 用 户 的 使 用 记录 ,这样 就 不 能 从 访问 
记录 中 发 现 黑客 的 攻击 记录 。 而 攻击 一 个 单纯 的 包 过 滤 防 火 墙 对 黑客 来 说 是 比较 容易 
的 。 此 外 ,配置 烦琐 也 是 包 过 滤 防 火 墙 的 一 个 缺点 。 它 阻挡 别人 进入 内 部 网 络 ,但 不 告诉 
何人 进入 防火 墙 的 系统 ,或 者 何人 从 内 部 进入 网 际 网 络 。 它 可 以 阻止 外 部 公有 网 络 用 户 
对 私有 网 络 的 访问 , 却 不 能 记录 内 部 的 访问 。 包 过 滤 另 一 个 关键 的 弱点 就 是 不 能 在 用 户 
级 别 上 进行 过 滤 , 即 不 能 鉴别 不 同 的 用 户 和 防止 IP 地 址 被 盗用 。 包 过 滤 型 防火 墙 是 某 种 
意义 上 的 相对 安全 的 系统 。 
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2 应 用 代理 防火 墙 

应 用 代理 防火 墙 也 可 以 称 为 代理 服务 器 , 它 的 安全 性 要 高 于 包 过 滤 型 产品 。 应 用 代 
理 防 火 墙 工作 在 应 用 层 , 其 特点 是 能 够 完全 阻隔 网 络 中 通信 的 数据 流 , 通 过 对 每 种 应 用 服 
务 编制 专门 的 代理 程序 ,实现 监视 和 控制 应 用 层 通信 流 的 作用 。 应 用 代理 防火 墙 一 般 安 
装 在 内 部 网 与 外 部 网 的 隔离 点 ,起 着 监视 和 隔绝 应 用 层 通信 流 的 作用 。 它 通常 工作 在 
OSI 模 型 的 最 高 层 ,掌握 着 应 用 系统 中 安全 决策 的 全 部 信息 ,如 图 1-6 所 示 。 


7 应 用 时 A 
6. 表示 层 6. 表示 层 
5 会 话 层 5 会话 屋 
4 传输 导 4 传输 导 
3 网 络 层 3 网 络 层 
二 数据 外 路 层 2 数据 外 路 层 |。 | 2 数据 铺路 层 
1 物理 层 1 物理 层 1 物理 层 


图 1-6 应 用 代理 防火 墙 工作 模型 


应 用 代理 服务 器 通常 也 称 作 应 用 级 防火 墙 。 包 过 滤 防 火 墙 是 按照 IP 地 址 来 禁止 未 
授权 者 的 访问 ,但 是 它 不 适合 单位 用 来 控制 内 部 人 员 访 问 外 界 的 网 络 ,对 于 这 样 的 企业 来 
说 应 用 级 防火 墙 是 更 好 的 选择 。 所 谓 代理 服务 , 即 防火 墙 内 外 的 计算 机 系统 应 用 层 的 链 
接 ,是 在 两 个 终止 于 代理 服务 的 链接 实现 的 ,这 样 便 成 功 地 实现 了 防火 墙 内 外 计算 机 系统 
的 隔离 。 代 理 服务 是 设置 在 Internet 防火 墙 网 关上 的 应 用 ,网 络 管理 人 员 可 以 在 其 上 设 
置 特定 的 允许 或 拒绝 服务 。 同 时 ,还 可 应 用 于 实施 较 强 的 数据 流 监 控 \ 过 滤 、 记 录 和 报告 
等 功能 。 一 般 情 况 下 可 应 用 于 特定 的 互联 网 服务 ,如 超 文 本 传输 (HTTP)、 远 程 文件 传输 
(FTP) 等 。 代 理 服务 器 通常 拥有 高 速 缓 存 ,缓存 中 存 有 用 户 经 常 访问 站 点 的 内 容 ,在 下 一 
个 用 户 要 访问 同样 的 站 点 时 ,服务 器 就 用 不 着 重复 地 去 抓 同样 的 内 容 , 既 节约 了 时 间 也 节 
约 了 网 络 资源 。 
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从 防火 墙 技 术 表 现 的 形式 上 来 分 ,防火 墙 大 致 分 为 硬件 防火 墙 和 软件 防火 墙 两 类 。 

软件 防火 墙 其 实 就 是 安全 防护 软件 ,是 运行 于 特定 的 计算 机 平台 上 的 软件 产品 , 它 需 
要 客户 预先 安装 好 的 计算 机 操作 系统 的 支持 ,一 般 来 说 这 人 台 计 算 机 就 是 整个 网 络 的 网 关 ， 
俗称 “个 人 防火 墙 ”。 

一 些 操作 系统 包含 了 内 置 防火 墙 ,如 图 1-7 所 示 ; 而 有 些 软 件 防火 墙 就 像 其 他 软件 产 
品 一 样 ,需要 先 在 计算 机 上 安装 并 做 好 配置 才 可 以 使 用 , 它 通过 在 操作 系统 底层 工作 来 实 
现 网 络 管理 和 防御 功能 的 优化 。 随 着 宽带 网 络 的 迅速 发 展 ,软件 防火 墙 在 大 数据 流量 面 
前 显得 力不从心 ,例如 诺顿 防火 墙 天 网 防火 墙 .金山 网 镖 、 瑞 星 防 火 墙 等 ,系统 防火 墙 如 
图 1-8 所 示 。 
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时 Hi en a Internet 或 网 络 访问 您 的 计算 


久 Er 2 310 

入 及 瞩 和 tt， 除了 在 “例外 ”选项 卡 
关闭 
加 不 允许 例外 @) 


天 网 凡人 洁 Se 


Skynet Personal | Firewall Athena 2006 日 关闭 (不 推荐 ) @f) 


避免 使 用 此 设置 。 关 闭 Windows 防火 墙 可 能 使 半 算 机 更 容易 受 
病毒 和 入 侵 者 的 攻击 。 


了 解 Windors 防火 培 的 其 地 信息 


四 1-7 ”软件 防火 墙 1-8 系统 防火 墙 


硬件 防火 墙 ,通常 也 称 为 网 络 防火 墙 , 基 于 硬件 的 防火 墙 应 用 于 保护 整个 网 络 , 这 里 
所 说 的 硬件 防火 墙 是 指 具 有 独立 芯片 防火 墙 设备 ,具有 专用 的 硬件 平台 。 硬 件 防 火 墙 是 
指 把 防火 墙 程序 做 到 芯片 里 面 , 由 硬件 执行 这 些 功能 ,以 减少 CPU 的 负担 ,使 路 由 更 稳 
定 ,如 图 1-9 所 示 。 硬 件 防 火 墙 是 保障 内 部 网 络 安全 的 一 道 重 要 屏障 。 它 的 安全 和 稳定 ， 
直接 关系 到 整个 内 部 网 络 的 安全 。 硬 件 防火 墙 一 般 有 这 样 的 核心 要 求 : 它 的 硬件 和 软件 
都 需要 单独 设计 ,有 专用 网 络 芯片 来 处 理 数据 包 ; 同 时 ,采用 专门 的 操作 系统 平台 ,从 而 避 
免 通 用 操作 系统 的 安全 方面 的 漏洞 。 


:夺回 面 固 固 固 ” 固 固 固 
1-9 ”硬件 防火 墙 


硬件 防火 墙 一 般 都 有 WAN、LAN 和 DMZ 3 种 类 型 的 端口 ,分 别 连接 3 种 不 同 网 络 
区 域 ,具有 不 同 级 别 的 安全 防范 功能 ,如 图 1-10 所 示 。 硬件 防火 墙 具 有 多 种 安全 防范 功 
能 ,价格 比较 高 ,企业 以 及 大 型 网 络 使 用 得 比较 多 。 需 要 在 硬件 防火 墙 上 设置 适当 的 规 
则 ,利用 这 些 规则 防火 墙 对 流 经 自己 的 数据 作出 判断 ,让 这 些 数据 通过 或 者 不 通过 ,以 达 
到 禁止 非 正常 数据 通过 ,保护 网 络 安全 的 目的 。 通常 硬件 防火 墙 部 署 在 网 络 的 出 口 或 者 
是 网 络 重点 保护 区 域 ,需要 完成 两 个 工作 : 第 一 ,作为 网 络 互联 设备 实现 网 络 互 联 互通 ; 
第 二 ,作为 网 络 安全 设备 检测 流 经 数据 ,以 保护 网 络 安全 。 

目前 市 场 上 大 多 数 防火 墙 都 是 这 种 硬件 防火 墙 ,大 多 是 基于 PC 架构 ,也 就 是 说 , 它 
们 的 架构 和 普通 的 家 庭 用 PC 没有 太 大 区 别 。 在 这 些 PC 架构 计算 机 上 运行 一 些 经 过 裁 
剪 和 简化 的 操作 系统 ,最 常用 的 有 老 版 本 的 UNIX、Linux 和 FreeBSD 系统 。 值 得 注意 的 
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图 1-10 防火 墙 产品 防范 3 个 区 域 安全 


是 ,由 于 此 类 防火 墙 采用 的 依然 是 PC 的 内 核 ,因此 依然 会 受到 操作 系统 本 身 的 安全 性 
影响 。 

早期 的 千 兆 防火 墙 仅仅 是 将 百 兆 接口 蔡 换 为 千 兆 接口 而 已 。 这 种 基于 PC 模式 的 
X86 体系 结构 的 千 兆 防火 墙 主体 仍然 是 软件 ,其 性 能 受到 很 大 制约 ,无 法 达到 千 兆 的 处 理 
速度 。 因 此 ,这 些 防火 墙 只 是 具有 千 兆 接 人 能 力 的 防火 墙 ,而 不 是 真正 具有 千 兆 处 理 能 
力 。 随 着 千 兆 网 络 在 企业 和 行业 用 户 中 的 不 断 普 及 ,以 及 用 户 对 性 能 需求 的 不 断 增加 , 千 
兆 防 火 墙 也 逐渐 发 生 了 质变 。 

这 种 质 的 变化 首先 是 人 们 把 目光 转移 到 了 专用 集成 电路 (ASIC) 和 网 络 处 理 器 (NP) 
上 。 相 对 于 X86 架构 ,基于 这 些 架 构 的 千 兆 防火 墙 才 是 真正 的 硬件 解决 方案 ,能 够 实现 
千 兆 处 理 速度 。 


1 X86 架构 

最 初 的 千 兆 防火 墙 是 基于 X86 架构 的 。X86 架构 采用 通用 CPU 和 PCI 总 线 接口 ， 
具有 很 高 的 灵活 性 和 可 扩展 性 ,过 去 一 直 是 防火 墙 开发 主要 平台 。 其 产品 功能 主要 由 软 
件 实现 ,可 以 根据 用 户 的 实际 需要 而 做 相应 调整 ,增加 或 减少 功能 模块 。 产 品 比较 灵活 ， 
功能 十 分 丰富 。 

但 其 性 能 发 展 却 受到 X86 体系 结构 的 制约 ,作为 通用 的 计算 平台 ,X86 的 结构 层次 
较 多 ,不 易 优 化 , 且 往 往 会 受到 PCI 总 线 的 带宽 限制 。 虽然 PCI 总 线 接口 理论 上 能 达到 
接近 2Gb/s 的 吞吐 量 ,但 是 通用 CPU 的 处 理 能 力 有 限 。 尽 管 防火 墙 软件 部 分 可 以 最 大 
限度 地 优化 ,但 很 难 达到 千 兆 速率 。 同 时 很 多 X86 架构 的 防火 墙 是 基于 定制 的 通用 操作 
系统 ,其 安全 性 很 大 程度 上 取决 于 通用 操作 系统 自身 的 安全 性 ,可 能 存在 安全 漏洞 。 


2 ASIC 架 构 
相 比 之 下 ,ASIC 防火 墙 通过 专门 设计 的 ASIC 芯片 逻辑 进行 硬件 加 速 处 理 。ASIC 
架构 防火 墙 通过 把 指令 或 计算 逻辑 固化 到 芯片 中 ,获得 了 很 高 的 处 理 能 力 , 因 而 明显 提升 
了 防火 墙 的 性 能 。 新 一 代 的 高 可 编程 ASIC 架构 采用 了 更 灵活 的 设计 ,能 够 通过 软件 改 
变 应 用 逻辑 ,具有 更 广泛 的 适应 能 力 。 但 是 ,ASIC 架构 的 缺点 也 同样 明显 , 它 的 灵活 性 
和 扩展 性 不 够 ,开发 费用 高 ,开发 周期 太 长 ,一 般 耗 时 接近 2 年 。 
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虽然 研发 成 本 较 高 ,灵活 性 受 限制 .无 法 支持 太 多 的 功能 ,但 其 性 能 具有 天 然 优 势 , 非 
常 适合 应 用 于 模式 简单 ,对 吞吐 量 和 时 延 指 标 要 求 较 高 的 电信 级 大 流量 的 处 理 。 


3 NP 架构 

NP 可 以 说 是 介 于 以 上 两 者 之 间 的 技术 ,NP 架构 是 专门 为 处 理 网 络 流量 而 设计 的 处 
理 器 ,其 体系 结构 和 指令 集 对 于 防火 墙 常用 的 包 过 滤 、 转 发 等 算法 和 操作 都 进行 了 专门 的 
优化 ,可 以 高 效 地 完成 TCP/IP 协议 栈 的 常用 操作 ,并 对 网 络 流量 进行 快速 的 并 发 处 理 。 
硬件 结构 设计 也 大 多 采用 高 速 的 接口 技术 和 总 线 规范 ,具有 较 高 的 IO 能 力 。 

它 可 以 构建 一 种 硬件 加 速 的 完全 可 编程 的 架构 ,这 种 架构 的 软 硬 件 都 易于 升级 ,软件 
可 以 支持 新 的 标准 和 协议 ,硬件 设计 支持 更 高 网 络 速度 ,从 而 使 产品 的 生命 周期 更 长 。 由 
于 防火 墙 处 理 的 就 是 网 络 数据 包 , 所 以 基于 NP 架构 的 防火 墙 与 X86 架构 的 防火 墙 相 比 ， 
性 能 得 到 了 很 大 的 提高 。 

NP 通过 专门 的 指令 集 和 配套 的 软件 开发 系统 ,提供 强大 的 编程 能 力 , 因 而 便于 开发 
应 用 ,支持 可 扩展 的 服务 ,而 且 研 制 周 期 短 ,成 本 较 低 。 但 是 , 相 比较 于 X86 架构 ,由 于 应 
用 开发 .功能 扩展 受到 NP 的 配套 软件 的 限制 ,基于 NP 技术 的 防火 墙 的 灵活 性 要 差 一 
些 。 由 于 依赖 软件 环境 ,在 性 能 方面 NP 不 如 ASIC。NP 架构 开发 的 难度 和 灵活 性 都 介 
于 ASIC 和 X86 构架 之 间 。 应 该 说 ,NP 是 X86 架构 和 ASIC 之 间 的 一 个 折 中 。 

可 以 看 出 ,X86、NP 和 ASIC 各 有 优 缺 点 。X86 架构 灵活 性 最 高 ,新 功能 、 新 模块 扩 
展 容易 ,但 性 能 肯定 满足 不 了 千 兆 需要 。ASIC 架构 性 能 最 高 , 千 兆 ,万 兆 吞 吐 速率 均 可 
实现 ,但 灵活 性 最 低 ,定型 后 再 扩展 十 分 困难 。NP 架构 则 介 于 两 者 之 间 , 性 能 可 满足 千 
兆 需 要 ,同时 也 具有 一 定 的 灵活 性 。 

硬件 防火 墙 一 般 至 少 应 具备 WAN LAN 和 DMZ 端口 ,分 别 接 内 网 、 外 网 和 DMZ 非 
军事 化 区 ,现在 一 些 新 的 硬件 防火 墙 往 往 扩 展 了 端口 ,常见 四 端口 防火 墙 一 般 将 第 四 个 端 
口 作为 配置 口 .管理 端口 ,很 多 高 性 能 的 防火 墙 还 可 以 进一步 扩展 其 他 端口 数目 。 


4 防火 墙 的 配置 端口 

防火 墙 的 控制 端口 通常 为 Console 端口 ,防火 墙 的 初始 配置 也 是 通过 控制 端口 
(Console) 与 PC( 通 常 是 笔记 本 电脑 ) 的 串口 (RS-232) 连 接 ,再 通过 Windows 系统 自 带 的 
超级 终端 (HyperTerminal) 程 序 进 行 选项 配置 。 防 火 墙 的 初始 配置 物理 连接 与 交换 机 初 
始 配置 连接 方法 一 样 ,如 图 1-11 所 示 。 


1-11 防火 墙 的 配置 端口 
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5 防火 墙 的 LAN 和 WAN 端口 

所 谓 防 火 墙 就 是 在 内 部 网 和 外 部 网 之 间 构 造 的 保护 屏障 ,保护 内 部 网 免 受 来 自 外 部 
网 络 中 非法 用 户 的 侵入 ,从 而 实现 保护 内 部 网 络 用 户 安全 的 目的 。 一 般 网 络 分 成 内 网 和 
外 网 ,也 就 是 LAN 和 WAN, 因 此 所 有 的 防火 墙 设备 一 般 都 具有 区 分 内 部 和 外 部 网 络 的 
两 个 端口 : LAN 端口 和 WAN 端口 ,如 图 1-12 所 示 。 


C teem 
RG-WALL Console 


Tl 


图 1-12 防火 墙 的 LAN、WAN 和 DMZ 端口 


在 防火 墙 默 认 情 况 下 ,为 了 保护 内 网 ,因此 LAN 端口 一 般 连 接 的 是 受 保护 的 网 络 区 
域 。 防 火 墙 一 般 的 策略 是 禁止 外 网 访问 内 网 ,许可 内 网 访问 外 网 ,因此 WAN 端口 一 般 连 
接 的 是 不 受 保护 ,不 安全 的 网 络 区 域 。 

因此 当 有 1 台 FTP 服务 器 ,禁止 被 外 部 网 络 访问 时 ,必须 安装 在 LAN 端口 所 连接 的 
网 络 区 域 。 当 有 1 台 Web 服务 器 ,需要 被 外 网 访问 ,并 且 , 也 被 内 网 访问 的 时 候 , 那 么 ,有 
两 种 方法 : 一 种 是 放 在 LAN 中 ,一 种 是 放 在 DMZ。 但 如 果 这 个 服务 器 能 被 外 网 所 访问 ， 
那么 ,就 意味 着 这 个 服务 器 已 经 处 于 不 可 信任 的 状态 ,这 个 服务 器 就 不 能 (主动 ) 访 问 
内 网 。 


6 防火 墙 的 DYZ 端 口 

大 多 数 的 硬件 防火 墙 设备 上 ,都 具有 DMZ 端口 ,如 图 1-12 所 示 。DMZ 是 
demilitarized zone 的 缩写 ,中文 名 称 为 “隔离 区 ”, 也 称 " 非 军事 化 区 ”。 

DMZ 端口 是 为 了 解决 安装 防火 墙 后 ,外 部 网 络 不 能 访问 内 部 网 络 对 外 公共 服务 器 的 
连接 问题 ,而 设立 的 一 个 非 安 全 系统 与 安全 系统 之 间 的 缓冲 区 ,这 个 缓冲 区 位 于 企业 内 部 
网 络 和 外 部 网 络 之 间 的 小 网 络 区 域内 ,在 这 个 小 网 络 区 域内 可 以 放置 一 些 必须 公开 的 服 
务 器 设施 ,如 企业 Web 服务 器 .FTP 服务 器 和 论坛 等 ,外 部 网 络 可 以 直接 访问 而 不 受 防 
火 墙 的 安全 控制 影响 。 


17 防火墙 硬 件 参 数 


防火 墙 硬件 参数 是 指 设备 使 用 的 处 理 器 类 型 或 芯片 及 架构 主 频 、 内 存 容量 、 闪 存 容 
量 、 网 络 接 口 存储 容量 类 型 等 数据 。 此 外 专业 级 防火 墙 在 选 购 时 ,还 需要 考虑 以 下 技术 
指标 。 
1 并 发 连接 数 
并 发 连接 数 是 衡量 防火 墙 性 能 的 一 个 重要 指标 。 在 目前 市 面 上 常见 防火 墙 设备 的 说 
明 书 中 可 以 看 到 ,从 低 端 设备 的 500、1000 个 并 发 连接 ,一 直到 高 端 设 备 的 数 万 、 数 十 万 个 
be 


EGG 网络 安 全 防御 技术 实践 教程 。 mm 


并 发 连接 ,存在 着 好 几 个 数量 级 的 差异 。 那 么 ,并 发 连接 数 究竟 是 一 个 什么 概念 呢 ? 它 的 
大 小 会 对 用 户 的 日 常 使 用 产生 什么 影响 呢 ? 

要 了 解 并 发 连接 数 ,首先 需要 明白 一 个 概念 , 那 就 是 “会 话 ”。 这 个 “会 话 ? 可 不 是 平时 
的 谈话 ,但 是 可 以 用 平时 的 谈话 来 理解 ,两 个 人 在 谈话 时 ,你 一 句 , 我 一 句 , 一 问 一 答 , 把 它 
称 为 一 次 对 话 ,或 者 叫 会 话 。 同 样 , 在 用 计算 机 工作 时 ,打开 的 一 个 窗口 或 一 个 Web 页 
面 ,也 可 以 把 它 叫 做 一 个 “会 话 ”, 扩 展 到 一 个 局 域 网 里 面 ,所 有 用 户 要 通过 防火 墙 上 网 ,要 
打开 很 多 个 窗口 或 Web 页面 ( 即 会 话 ) ,那么 ,这 个 防火 墙 所 能 处 理 的 最 大 会 话 数量 ,就 是 
“并 发 连接 数 ”。 

并 发 连接 数 是 指 防火 墙 或 代理 服务 器 对 其 业务 信息 流 的 处 理 能 力 ,是 防火 墙 能 够 同 
时 处 理 的 点 对 点 连接 的 最 大 数目 , 它 反映 出 防火 墙 设备 对 多 个 连接 的 访问 控制 能 力 和 连 
接 状 态 跟踪 能 力 , 这 个 参数 的 大 小 直接 影响 到 防火 墙 所 能 支持 的 最 大 信息 点 数 。 


2 吞吐 量 

网 络 中 的 数据 是 由 一 个 个 数据 包 组 成 的 ,防火 墙 对 每 个 数据 包 的 处 理 要 耗费 资源 。 
吞吐 量 是 指 在 没有 帧 丢失 的 情况 下 ,设备 能 够 接受 的 最 大 速率 。 其 测试 方法 是 : 在 测试 
中 以 一 定 速率 发 送 一 定数 量 的 帧 ,并 计算 待 测 设备 传输 的 帧 ,如 果 发 送 的 帧 与 接收 的 帧 数 
量 相等 ,那么 就 将 发 送 速率 提高 并 重新 测试 ;如 果 接 收 帧 少 于 发 送 帧 则 降低 发 送 速率 重新 
测试 ,直至 得 出 最 终结 果 。 吞 吐 量 测试 结果 以 比特 / 秒 或 字 节 / 秒 为 单位 表示 。 

吞吐 量 和 报 文 转发 率 是 关系 防火 墙 应 用 的 主要 指标 ,一 般 采 用 FDT(Full Duplex 
Throughput) 来 衡量 ,指标 准 的 64 字 节 数据 包 的 全 双 工 吞吐 量 , 该 指标 既 包括 吞吐 量 指 
标 也 涵盖 了 报 文 转发 率 指标 。 

吞吐 量 的 大 小 主要 由 防火 墙 内 网 卡 及 程序 算法 的 效率 决定 ,尤其 是 程序 算法 ,会 使 
防火 墙 系统 进行 大 量 运算 ,通信 量 大 打折 扣 。 因 此 ,大 多 数 防火 墙 虽 号 称 100M 防火 
墙 ,由 于 其 算法 依靠 软件 实现 ,通信 量 远 远 没 有 达到 100M, 实 际 只 有 10 一 20M。 纯 硬 
件 防 火 墙 ,由 于 采用 硬件 芯片 进行 运算 ,因此 吞吐 量 可 以 达到 线 速 90 一 95M, 从 而 是 真 
正 的 100M 防火 墙 。 

对 于 中 小 型 企业 来 讲 , 选 择 吞 吐 量 为 百 兆 级 的 防火 墙 即 可 满足 需要 ,而 对 于 电信 , 金 
融 、 保 险 等 大 公司 大 企业 部 门 就 需要 采用 吞吐 量 为 千 兆 级 的 防火 墙 产品 。 


3 用 户 数 限 制 

防火 墙 的 用 户 数 限 制 分 为 固定 限制 用 户 数 和 无 用 户 数 限制 两 种 。 前 者 比如 SOHO 
型 防火 墙 一 般 支 持 几 十 到 几 百 个 用 户 不 等 ,而 无 用 户 数 限制 大 多 用 于 大 的 部 门 或 公司 。 
要 注意 的 是 ,用 户 数 和 并 发 连接 数 是 完全 不 同 的 两 个 概念 ,并 发 连接 数 是 指 防火 墙 的 最 大 
会 话 数 ( 或 进程 ) ,每 个 用 户 可 以 在 一 个 时 间 里 产生 很 多 的 连接 ,在 购买 产品 时 要 区 分 这 两 
个 概念 。 


4 VPN 支 持 
虚拟 专用 网 络 (Virtual Private Network, VPN) 可 以 理解 成 是 虚拟 出 来 的 企业 内 部 
专线 。 它 可 以 通过 特殊 的 加 密 的 通信 协议 在 连接 在 Internet 上 不 同 地 方 的 两 个 或 多 个 企 
业内 部 网 之 间 建 立 一 条 专 有 的 通信 线路 ,就 好 比 是 架设 了 一 条 专线 一 样 ,但 是 它 并 不 需要 
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真正 地 去 铺设 光缆 之 类 的 物理 线路 。 这 就 好 比 去 电信 局 申请 专线 ,但 是 不 用 给 铺设 线路 
的 费用 ,也 不 用 购买 路 由 器 等 硬件 设备 。 目 前 , 绝 大 部 分 防火 墙 产品 都 支持 VPN 功能 ， 
但 也 有 少 部 分 不 支持 ,建议 在 选 购 时 注意 此 参数 。 

5 安全 过 滤 带宽 

安全 过 滤 带 宽 是 指 防火 墙 在 某 种 加 密 算 法 标准 下 ,如 DES(56 位 ) 或 3DES(168 位 ) 
下 的 整体 过 滤 性 能 。 它 是 相对 于 明文 带宽 提出 的 。 一 般 来 说 ,防火 墙 总 的 吞吐 量 越 大 ,其 
对 应 的 安全 过 滤 带 宽 越 高 。 
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到 1 防火 墙 初始 化 配置 


【实验 名 称 】 

防火 墙 初始 化 配置 。 

【实验 目的 】 

登录 防火 墙 ,并 使 用 初始 化 向 导 配 置 防火 墙 基本 功能 。 

【背景 描述 】 

某 企 业 为 了 提高 网 络 的 安全 性 ,购买 了 一 台 RG-WALL 60 防火 墙 。 现 在 需要 登录 


防火 墙 并 对 其 进行 配置 ,使 其 满足 基本 的 网 络 安全 需求 。 


【需求 分 析 】 

防火 墙 的 初始 化 向 导 可 以 帮助 用 户 在 防火 墙 第 一 次 上 线 前 进行 基本 功能 的 配置 。 
【实验 拓扑 】 

如 图 2-1 所 示 的 网 络 拓扑 ,是 企业 为 了 提高 网 络 的 安全 ,规划 的 公司 安全 网 络 拓扑 规 


划 图 ,希望 实现 网 络 的 安全 访问 控制 功能 。 i 


192.168.10.200/24 


【实验 设备 】 

防火 墙 1 人 台 

PC 1 台 WAN 
192.168.10.100/24 

【预备 知识 】 


。 网 络 基础 知识 。 


。 防火 墙 基 础 知识 。 
图 2-1 某 公司 使 用 防火 墙 规划 的 
【实验 原理 】 安全 网 络 拓扑 图 


防火 墙 使 用 安全 登录 方式 ,只 有 通过 严格 的 身份 认证 后 ,才能 对 防火 墙 进行 管理 。 登 


录 防 火 墙 后 ,初始 化 向 导 可 以 帮助 用 户 在 防火 墙 第 一 次 上 线 前 进行 基本 功能 配置 。 
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【实验 步骤 】 
1 安装 管理 员 证 书 
管理 员 证 书 存放 在 防火 墙 软件 配套 光盘 中 的 Admin Cert 文件 夹 中 ,如 图 2-2 所 示 。 


|] 区 | 
| 文本 日 ”上 四 。 志 看 W， 收 蕊 是“ 工具 0 天 胁 | 必 
加 是 - 加 -让 | Dm DR | 
[i | ew eer 司 图 同 
当前 在 CD 上 的 文件 
CD 写 入 任务 人 
铅 量 是. 量 旦 日 


BannpI ca.pem 。 frewalcert…， prkey.pem 说明 bt 
文件 和 文件 夹 任务 人 


加 外 一 人 新 六 件 天 
全 将 这 个 文件 天 发 布 到 
web 


其 它 位 置 人 
© onte) 

0 

已 共享 文 档 

辐 崩 E39 所 


详细 信息 Y 
图 2-2 软件 配套 光盘 中 的 管理 员 证 书 


双击 admin. p12 人 该 文件 将 初始 Windows 的 证 书 导 入 向 导 , 打 开 “ 欢 迎 使 用 证 书 
导入 向 导 ” 面 板 , 单 击 “ 下 一 步 ”按钮 ,如 图 2-3 所 示 。 


到 
欢迎 使 用 证 书 导 入 向 导 


这 个 向 导 帮 助 您 将 证 书 、 证 书信 任 列表 和 证 书 吊销 列 
表 从 磁盘 复制 到 让 书 存储 区. 


由 证 书 颁 发 机 构 颁 发 的 证 书 是 确认 您 的 身份 的 文件 ， 
它 合 有 用 来 保护 数据 或 建立 安全 网 络 连 接 的 信息 。 证 
书 存储 是 保存 证 书 的 系统 区 域 。 
要 继 疆 ， 请 单 击 " 下 一 步 "。 

| 取消 


2-3 导入 管理 员 证 书 


指定 证 书 所 在 的 路 径 , 单 击 “ 下 一 步 ” 按 钮 ,如 图 2-4 所 示 。 

输入 导入 证 书 时 使 用 的 密码 ,密码 为 123456, 单 击 “ 下 一 步 ” 按 钮 ,如 图 2-5 所 示 。 

选择 证 书 的 存放 位 置 ,选中 “根据 证 书 类 型 ,自动 选择 证 书 存储 区 ” 单 选 按钮 , 单 击 “ 下 
一 步 ? 按 钮 ,如 图 2-6 所 示 。 
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图 2-5 输入 导入 证 书 的 默认 密码 


2-6 选择 证 书 的 存放 位 置 
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单 击 * 下 一 步 ?按钮 ,完成 证 书 的 导入 ,如 图 2-7 所 示 。 单 击 “ 完 成 ”按钮 ,系统 会 提示 
证 书 导入 成 功 , 如 图 2-8 所 示 。 


划 
正在 完成 证 书 导入 向 导 
悠 已 成 功 地 完成 证 书 导入 向导 。 
悠 已 指定 下 列 设 置 : 
要 
到 
Ji 导入 成 功 。 
sm 到 | 
图 2-7 完成 证 书 的 导入 图 2-8 ”证书 导入 成 功 提示 


2 登录 防火 墙 

防火 墙 出 厂 时 ,默认 在 WAN 接口 配置 了 一 个 IP 地 址 ,如 192. 168. 10.100/24, 并 且 
授权 只 允许 IP 地 址 为 192. 168. 10. 200 的 主机 进行 管理 。 如 图 2-1 所 示 的 网 络 连 接 拓 
扑 图 。 

将 管理 主机 的 IP 地 址 配置 为 192. 168. 10. 200/24 ,在 Web 浏览 器 的 地 址 栏 中 输入 
https://192. 168. 10.100:6666。 注 意 ,这 里 使 用 “https” ,这样 所 有 的 管理 流量 都 将 通过 
SSL 进行 加 密 ; 并 且 端 口号 为 6666, 这 是 使 用 文件 证 书 登录 防火 墙 时 使 用 的 端口 。 如 果 
使 用 USB-KEY 登录 ,端口 号 为 6667。 

当 使 用 https://192. 168. 10. 100:6666 登录 防火 墙 时 ,防火 墙 将 提示 管理 主机 初始 
管理 员 证 书 , 该 证 书 就 是 之 前 导入 的 管理 员 证 书 , 单 击 “ 确 定 ” 按 钮 ,如 图 2-9 所 示 。 

之 后 Windows 系统 会 提示 验证 防火 墙 的 证 书 , 单 击 “ 确 定 ” 按 钮 ,如 图 2-10 所 示 。 


可 
i 到 
八 您 要 查看 的 网 站 要 求 标识 。 请 选择 证 书 。 疗 鲸 弄 二 抽 珍 全 TS 人 可 或 RM。 但 该 站 点 

名 称 颁发 者 
RG-WAIIL @ ”法 安全 证 书 由 可 信 的 验证 机 构 发 行 。 
© 该 安全 证 书 的 日 期 有 效 。 
心安 全 证 书 上 的 名 称 无 效 ， 或 者 与 站 点 名 称 不 匹配 。 
更 多 信息 如 ... | 查看 证 书信 | 是 否 继 续 ? 
取消 | 是 四 “| [一 坦 疝 下 坦 看 证 书 四 
图 2-9 选择 初始 管理 员 证 书 图 2-10 防火 墙 验证 的 证 书 
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通过 验证 后 ,就 可 以 进入 防火 墙 的 登录 界面 ,如 图 2-11 所 示 。 


图 2-11 进入 防火 墙 的 登录 界面 


输入 默认 的 用 户 名 admin, 密 码 firewall, 登 录 防 火 墙 ,如 图 2-12 所 示 。 


Eirerdl Oye) 人 OQ) 
3820(-3533) e61003y+s) 才 尖 0 Oyes) 
.00yt) 妇 注 38 03 GB) 
于 fn re) 二 注 0 Gp) 


更 多 27| | 口 在 栈 等 理 品 


E77 
更 5)) 


图 2-12 使 用 默认 信息 登录 防火 墙 


3 初始 化 向 导 全 一 修改 口令 


进入 防火 墙 配置 页 面 后 , 单 击 右上 方 的 “初始 向 导 ” 按 钮 ,进入 防火 墙 的 初始 化 向 导 。 
初始 化 向 导 的 第 1 步 是 修改 默认 的 管理 员 密 码 , 如 图 2-13 所 示 。 


mm 20 m= 


TYTT7XT7 


1 修改 口令 
2 .工作 要 式 


3. 芒 DIP 


4- 默认 网 关 


5. 管 理 主机 eeoeee 


5. 安全 规则 
7. 管 理 方式 


38. 完成 


类 者 误 务 襟 观 哥 作 竺 术 。 ms 


图 2-13 修改 管理 员 密码 


4 初始 化 向 导 2 一 一 工作 模式 


初始 化 向 导 的 第 2 步 是 设置 接口 的 工作 模式 。 防 火 墙 接口 工作 模式 通常 分 为 混合 模 
式 和 路 由 模式 ,默认 为 路 由 模式 。 路 由 模式 是 指 接口 对 报 文 进行 路 由 转发 :混合 模式 是 指 


接口 对 报 文 进行 透明 桥接 转发 ,如 图 2-14 所 示 。 


ET TT 


路 由 模式 指 网 络 接口 只 做 绩 路 由 转发 。 


醒 式 必须 相同 。 

人 路 由 模式 
个 混合 模式 
人 路 由 模式 
个 混合 模式 


len: 


图 2-14 配置 工作 模式 


5 初始 化 向 导 3 一 一 接口 IP 


混合 模式 指 网 络 接口 自动 类 新 纯 路 由 转发 或 者 透明 恬 和 转发。 
请 根据 实际 网 络 拓 直 进行 配置 , 默认 使 用 路 由 模式 ， 以 下 两 个 网 络 接口 工作 


初始 化 向 导 的 第 3 步 是 设置 接口 的 IP 地 址 和 掩 码 信息 ,并且 设 置 该 地 址 是 否 作 为 管 


21 


网络 安全 防御 技术 实践 教程 5555 


理 地 址 ,是 否 允 许 连接 在 接口 上 的 主机 使 用 ping 测试 命令 等 选项 ,如 图 2-15 所 示 。 
汉 https://192.168.10.100:6666 - 接口 IP - Microsoft InternedERoloe 


EF 


1 修改 口令 在 纯 路 由 模式 下 , 防火墙 地 址 是 必须 的 , 以 下 两 个 地 址 都 必须 配置 , 其 中 ,至少 


有 一 个 地 址 可 以 用 于 管理 . 

2. 工 作 积 式 下班 明 煌 模式 下 ，1an 必 须 配 置 并 且 用 于 管理 。 
请 根据 实际 网 络 拓 着 进行 配置 。 

接 DIP: [192.168.11 | 
4 默认 同 关 ; 四 
区 许 所 有 主机 ping [了 用 于 管理 
区 许 管 理 主机 ping 三 ”允许 管理 主机 Traceronte 
本 所 Gillll | 

掩 码 255. 255. 255. 252 

7. 管 理 方式 厂区 许 所 有 主机 ping 厂 用 于 管理 
en 后 多 管 理 主机 ping 四 允许 和 理 主机 Traceroute 


3. 接 口 IP 


5. 管 理 主机 


图 2-15 配置 接口 的 IP 


6 初始 化 向 导 4 -一 默认 网 关 


初始 化 向 导 的 第 4 步 是 设置 防火 墙 的 默认 网 关 ,通常 这 些 都 是 ISP 路 由 器 的 地 址 ,如 
图 2-16 所 示 。 


ETTTTTXTXTTTTT3ETEETETTTTTTTTTTTC 


图 2-16 配置 默认 网 关 


7 初始 化 向 导 5 一 管理 主机 


初始 化 向 导 的 第 5 步 是 设置 管理 主机 ,授权 只 有 配置 该 地 址 的 主机 才 可 以 对 防火 墙 
22 


进行 管理 。 在 配置 界面 上 还 可 以 添加 多 个 管理 主机 。 默 认 的 管理 主机 为 192. 168. 1. 254， 
如 图 2-17 所 示 。 


管理 主机 IP - Microsoft Internet Explorer 


本 向 导 完成 后 ， 管 理 员 必须 从 以 下 IP 地 址 才能 登录 防火 墙 进行 管理 ， 
通常 管理 主机 I 地 址 和 某 一 防火 雯 地 址 在 同一 同和。 


管理 主机 TP。 | 192.168.1.254 


6. 安全 规则 


7. 管 理 方式 


8. 完 成 


图 2-17 配置 管理 主机 


8 初始 化 向 导 6 一 一 安全 规则 
初始 化 向 导 的 第 6 步 是 添加 安全 规则 ,这 里 可 以 根据 内 部 和 外 部 的 子 网 信息 进行 配 
置 ,如 图 2-18 所 示 。 


规则 - Microsoft Internet Explorer 


将 删除 防火 雯 上 所 有 规则 ,添加 一 条 允许 从 源 地 址 访问 目的 地 址 所 有 骤 务 
的 规则 , 若 没 有 填写 地 址 ， 则 睦 认 为 任意 地 址 。 

特别 提示 : 若 源 地 址 和 目的 地 址 都 为 任意 地 址 ， 则 表示 区 许 所 有 流量 都 能 宇 
过 防火 墙 ， 这 是 航 其 危险 的 ?务必 在 网 络 调试 通畅 后 到 “安全 策略 >> 安 全 
规则 ”界面 山 除 本 条 规则 ,根据 网 络 拓扑 制定 安全 规则 。 

mE [192.168.1.0 | 
捧 码 : [255.255.255.0 | 
目的 地 址 。 。 了 时 直 

掩 玛 : 


源 地 址 、 


图 2-18 配置 安全 规则 
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9 初始 化 向 导 二 一 管理 方式 

初始 化 向 导 的 第 7 步 是 设置 管理 防火 墙 的 方式 ,这 里 可 以 选择 3 种 方式 : 使 用 串口 
连接 Console 接口 进行 命令 行 管理 ;使 用 Web 的 https 方式 ,即使 用 SSH 加 密 连 接 进 行 
Web 方式 管理 ,如 图 2-19 所 示 。 


ET TT 


1 修改 密码 选中 “运程 ssh 管 理 ” 以后， 管理 员 可 通过 ssk 匡 录 如 防火 墙 ， 通 过 命令 行 管 | 
理 . 

区 回 超 果 络 请 管理 【 连接 coISOLED ) 

回 ve (https ) 管理 

唱 唉 


3. 接 口 IP 


4. 默认 网 关 


5. 管 理 主机 


65. 安全 规则 


T. 管 理 方式 


8. 完成 


图 2-19 配置 管理 方式 


10 初始 化 向 导 8 一 一 完成 向 导 
初始 化 向 导 的 第 8 步 是 完成 向 导 的 配置 ,此 时 在 页 面 上 会 显示 之 前 步骤 配置 的 结果 ， 
单 击 “ 完 成 "按钮 ,如 图 2-20 所 示 。 


ps:/ /192.168.10.100:6666 - 完成 - Microsole INtEeN E00 


网 络 接口 1an 工 作 在 路 由 模式 ,If 地址 为 192. 168. 1. 1 允许 所 有 主机 
ping 允许 用 于 管理 ， 区 许 被 管理 主机 pingv 

网 络 接口 vsn 工 作 在 路 由 模式 ，IP 地 址 为 1.1.1. 1， 不 允许 所 有 主机 ping 
不 允 详 用 于 管理 ， 不 允许 被 各 理 主机 ping。 

默认 网 关 为 :1.1.1.2。 

管理 主机 TP 地 址 为 : 192. 168.1.254。 

允许 从 192. 168. 1.01255. 255. 255. 0 访问 任意 地 址 的 所 有 服务 。 

不 支持 远程 Ssk 管 理 。 

单 击 “ 完 成 ”以 后 ,以 上 配置 格 立 即 生效 ,请 把 安全 网 关 接 入 实际 网 络 
进行 调试 。 调试 成 功 后 请 立即 从 主机 192 .168. 1. 254 登 录 防火 墙 到 
“安全 策略 >) 安 全 规则 ”页 面 制定 合适 的 安全 规则 点 击 取消 退出 。 


图 2-20 配置 结束 
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【注意 事项 】 


完成 向 导 后 ,由 于 防火 墙 接口 的 地 址 ,管理 主机 的 地 址 已 经 改变 ,所 以 需要 使 用 新 的 
配置 重新 登录 防火 墙 进行 管理 。 


2.2 使 用 防火 墙 实现 安全 的 访问 控制 


【实验 名 称 】 

使 用 防火 墙 实现 安全 的 访问 控制 。 

【实验 目的 】 

利用 防火 墙 的 安全 策略 实现 严格 的 访问 控制 。 

【背景 描述 】 

某 企 业 网 络 的 出 口 使 用 了 一 台 防 火 墙 作为 接 入 Internet 的 设备 ,现在 需要 使 用 防火 
墙 的 安全 策略 来 实现 严格 的 访问 控制 ,以 允许 必要 的 流量 通过 防火 墙 ,并 且 阻 止 内 网 用 户 
接 入 Internet 上 的 未 授权 的 访问 。 

企业 内 部 网 络 使 用 的 地 址 段 为 100. 1. 1. 0/24。 公 司 经 理 的 主机 IP 地 址 为 
100. 1. 1. 100/24 ,设计 部 的 主机 IP 地 址 为 100. 1. 1. 101/24 一 100. 1. 1. 103/24, 其 他 员工 
使 用 100. 1. 1. 2/24 一 100. 1.1. 99/24 范围 内 的 地 址 。 并 且 公 司 在 公 网 上 有 一 台 IP 地 址 
为 200.1.1.1 的 外 部 FTP 服务 器 。 

现在 需要 在 防火 墙 上 进行 访问 控制 ,使 经 理 的 主机 可 以 访问 Internet 中 的 Web 服务 
器 和 公司 的 外 部 FTP 服务 器 ,并 能 够 使 用 邮件 客户 端 (SMTP/POP3) 收 发 邮件 ;设计 部 


的 主机 可 以 访问 Internet 中 的 Web 服务 器 和 公司 的 外 部 FTP 服务 器 ;其 他 员工 的 主机 
只 能 访问 公司 的 外 部 FTP 服务 器 。 


【需求 分 析 】 


企业 网 络 需 要 对 内 部 网 络 浏 览 Internet 的 流量 进行 限制 ,防火 墙 的 安全 策略 ( 包 过 滤 
规则 ) 可 以 满足 这 个 需求 ,实现 内 部 网 络 严 格 访问 Internet 的 控制 需求 。 


【实验 拓扑 】 


如 图 2-21 所 示 的 网 络 拓扑 ,企业 网 络 为 了 对 内 部 网 络 浏览 Internet 的 流量 进行 限 
制 ,配置 防火 墙 的 安全 策略 以 实现 企业 内 部 网 络 安全 访问 Internet 的 控制 需求 。 
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WAN 


101.1.1.130 
公司 外 部 FIP 服务 器 
YAN 200.1.1.1 
100.1.1.1/24 
经 理 计 部 其 他 员工 
100.1.1.10024 -100.1.1.101/24 100.1.1.2/24 
100.1.1.103/24 100.1.1.99/24 


图 2-21 防火墙 的 安全 策略 配置 规划 拓扑 图 


【实验 设备 】 
防火 墙 连接 到 Internet 的 链 路 
防火 墙 1 台 

PC 3 台 

FTP 服务 器 1 台 
【预备 知识 】 


。 网 络 基础 知识 。 
。 防火 墙 工作 原理 。 


【实验 原理 】 


实现 访问 控制 是 防火 墙 的 基本 功能 ,防火 墙 的 安全 策略 ( 包 过 滤 规 则 ) 可 以 根据 数据 
包 的 源 IP 地址、 目的 IP 地址 服务 (端口 号 ) 等 对 通过 防火 墙 的 报 文 进行 检测 。 


【实验 步骤 】 


1 配置 防火 墙 接口 的 IP 地 址 
如 图 2-22 所 示 ,进入 防火 墙 的 配置 页 面 , 即 * 网 络 配置 礼 接口 IP” 页 面 , 单 击 “ 添 加 ” 按 
钮 ,为 接口 添加 IP 地 址 。 


2-22 防火 墙 的 卫 配 置 页 面 
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为 防火 墙 的 LAN 接口 配置 IP 地 址 及 子 网 掩 码 ,如 图 2-23 所 示 。 


添加 、 往 辐 接口 IF 


| 


100.1.1.1 


255. 255. 255.0 


允许 管理 主机 PING- 
允许 管理 主机 Traceroute: 


图 2-23 配置 防火 墙 LAN 接口 的 全 地 址 


为 防火 墙 的 WAN 接口 配置 IP 地 址 及 子 网 掩 码 , 如 图 2-24 所 示 。 


添加 、 编 辑 接 口 IP 
van 司 


101.1.1.1 


+ 掩 码 ; | 255. 255. 255. 252 
化 放 所 有 主机 FING: 回 
用 于 管理 3 
介 放 管理 主机 PIN6: 四 
爷 许 管理 主机 Tracerote: 加 


图 2-24 配置 防火 墙 WAN 接口 的 IP 地 址 


接口 配置 IP 地 址 后 的 状态 如 图 2-25 所 示 。 


2-25 防火墙 接 口 配 置 的 IP 地 址 


2 配置 针对 经 理 的 主机 的 访问 控制 规则 

进入 防火 墙 配置 页 面 , 即 “安全 策略 广安 全 规则 ”页面 , 单 击 页 面 上 方 的 “ 包 过 滤 规 则 ” 
按钮 ,添加 包 过 滤 规 则 ,如 图 2-26 所 示 。 

添加 允许 经 理 的 主机 访问 Internet 中 的 Web 服务 器 的 包 过 滤 规 则 ,如 图 2-27 所 示 。 

添加 允许 经 理 的 主机 进行 DNS 域名 解析 的 访问 规则 ,如 图 2-28 所 示 。 
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【 1-15 位 字母 、 数 字 、 沽 号、 下划线 的 姐 合 ) 


日 


100.1.1.100 目的 地 址 TI 地 址 


255. 255. 255. 255| 


VRL 过 小 : 
检查 流出 网 品 
流量 控制 : 

日 志 记录 : 
CC 轩 


品 保护 主机 启 保护 服务 口 限制 主机 口 限制 服务 


(1-15 位 字母 、 数 字 、 沽 号、 下划线 的 组 合 ) 
ER 一 一 日 可 
地 址 [100.1.1.100 目的 地 址 IP 址 
掩 ” 码 | 255.255.255.255 掩 码 


WRL 过 源 ; 
检查 流入 网 口 -| 检查 流出 网 口 
i 
用 户 认证 : 口 日 老 记录 
序号 : 


上 山 
DID 


图 2-28 添加 DNS 域名 解析 的 访问 规则 


添加 允许 经 理 的 主机 访问 公司 外 部 FTP 服务 器 的 访问 规则 ,如 图 2-29 所 示 。 

添加 允许 经 理 的 主机 使 用 邮件 客户 端 发 送 邮件 CSMTP) 的 访问 规则 ,如 图 2-30 
所 示 。 

添加 允许 经 理 的 主机 使 用 邮件 客户 端 接收 邮件 (POP3) 的 访问 规则 ,如 图 2-31 所 示 。 
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也 过 话 规 则 维护 


manager_ftp (1-15 位 字母 、 数字 、 减 号 下井 的 组 合 ) 
插 工 敬 入 加 | 手工 本 入 日 
?地址 [100.1.1 100 目的 地 址 : TT 地 址 | 200.LL1 

掩 码 | 255.255. 255. 255| 掩 ” 码 | 255.255.255.255， 


WEL 过 小 
检查 流出 网 口 : 
流量 控制 : 
日 老 记录 : 
序号 - 

口 保护 主机 万 保护 服务 三 限制 主机 请 限制 服务 


【1415 位 字母、 数字、 减 号 、 下 划 红 的 姐 合 ) 


100.1.1.100 目的 地 址 


255. 255. 255. 255] 


HL 过 小 ; 
检查 流出 网 口 
流量 控制 : 
日 志 记 录 ; 
序号 : 


图 2-30 ”添加 发 送 邮件 (SMTP) 的 访问 规则 


也 过 活 规 则 维护 
规则 名 : managar_receive (1-15 位 字母 、 数 字 、 减 号 、 下 烛 坛 的 姐 合 ) 


手工 顽 入 日 ny 上 日 
源 地 址 ?地址 [100.1.1100 ”|] 目的 地 址 TT 地 址 

掩 “ 码 [255.255.255.255] 掩 码 
服务 ; Pop3 吕 
动作 : G 允 洗 个 禁止 WRL 过 涛 : -| 
检查 流入 风口: 同 ”过 查 流出 同 口 日 
用 户 认 证 : 口 日 志 记 录 口 
的 
连接 限制 口 保护 主机 品 保 护 服务 三 限制 主机 口 限制 服务 


图 2-31 添加 接收 邮件 (POP3) 的 访问 规则 
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3 配置 针对 设计 部 的 主机 的 访问 控制 规则 
添加 允许 设计 部 的 主机 访问 Internet 中 的 Web 服务 器 的 访问 规则 ,如 图 2-32 所 示 。 


包 过 小 规则 维护 


design http ( 1-15 位 字母 、 数 字 、 减 号 、 下 划 线 的 组 合 ) 
手工 输入 - - 
源 地 址 ; TP 地 址 | 100.1.1.100 目的 地 址 : 区 地 址 
捷 码 | 255.255.255.252 掩 码 
服务 ; http 图 
ia | 
动作 ; 他 允许 广 禁止 WRL 过 小 : [TT 
检查 流入 网 口 口 检查 流出 网 品 口 
MN 昌 
用 户 认证 口 日 志 记录 口 
me 间 于 5 
连接 限制 口 保护 主机 三 保护 服务 三 限制 主机 三 限制 服务 


| 示 )nT- 条 由 确定 由 取消 | 


2-32 添加 Web 服务 器 的 访问 规则 


添加 允许 设计 部 的 主机 进行 DNS 域名 解析 的 访问 规则 ,如 图 2-33 所 示 。 


包 过 活 规 则 维护 


( 1-15 位 字母、 数字 、 减 号 、 下 划 业 的 组 合 ) 
天 了 而 入 广 ” 间 
源 地 址 TP 地 址 [100.1.1.100 目的 地 址 : IP 地 址 
掩 码 [255.255.255.252 掩 玛 
服务 : dns 口 
动作 ; 人 多 许 CC 禁止 TEL 过 涛 : | 
检查 流入 网 口 |] ”检查 流出 风口 : 本 
时 间 调度 ]] 。 流量 控制: 目 
用 户 认 证 : 口 日 志 记 录 口 
序号: 


2-33 添加 DNS 域名 解析 的 访问 规则 


添加 允许 设计 部 的 主机 访问 公司 外 部 FTP 服务 器 的 访问 规则 ,如 图 2-34 所 示 。 


4 配置 针对 其 他 员工 的 主机 的 访问 控制 规则 
添加 允许 其 他 员工 的 主机 访问 公司 外 部 FTP 服务 器 的 访问 规则 ,如 图 2-35 所 示 。 


5 访问 规则 
查看 配置 的 访问 规则 ,如 图 2-36 所 示 。 
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包 过 话 规 则 维护 


规则 名: design_ftp ( 1-15 位 字母 、 数 字 、 沽 号 、 下 划 红 的 组 合 ) 
手工 葡 入 -| 手工 第 入 -| 
源 地 址 TP 地 址 [100.1.1_ 100 目的 地 址 TH 地 址 [200.111 
捷 码 | 255.255.255.252| 掩 码 [255.255.255.259] 
ftp 


加 
隆 道 名 -| 序号 : 8 
口 保护 主机 喇 保护 服务 门限 制 主机 门限 制服 务 


图 2-34 添加 FTP 服务 器 的 访问 规则 (1) 


包 过 小 规则 维护 


nployes_ftp (1-15 位 字母 、 数 字 、 减 号 、 下 划 虐 的 姐 合 ) 


日 


目的 地 址 : 


二 一 本 之 


口 保护 主机 口 保 护 服务 三 限制 主机 三 限制 服务 


图 2-35 添加 FTP 服务 器 的 访问 规则 (2) 


100.1.1,100 

100.1.1.100 

100.1.1.100 
manager_send 100.1.1.100 
managar_receive 。 100.1.1.100 
design http 100.1.1.100 
design_dns 100.1.1.100 
design_ftp 100.1.1.100 


aaployee_ftp 100.1.1.0 


加 
口 
可 
口 
可 
[a 
可 
口 
站 


eeagemgeo 
加 “四 “<“ 国 “ 国 < 国 


2-36 查看 配置 的 访问 规则 
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6 验证 测试 

经 理 的 主机 可 以 访问 Internet 中 的 Web 服务 器 和 公司 的 外 部 FTP 服务 器 ,并 能 
够 使 用 邮件 客户 端 (SMTP/POP3) 收 发 邮件 。 

设计 部 的 主机 可 以 访问 Internet 中 的 Web 服务 器 和 公司 的 外 部 FTP 服务 器 。 
其 他 员工 的 主机 只 能 访问 公司 的 外 部 FTP 服务 器 。 


【注意 事项 】 

。 防火 墙 的 访问 控制 规则 是 按照 顺序 进行 匹配 的 ,如 果 数 据 流 匹配 到 某 条 规则 后 ， 
将 不 再 进行 后 续 规则 的 匹配 。 

。 默认 情况 下 ,防火 墙 拒绝 所 有 没有 明确 允许 的 数据 流通 过 。 

。 在 本 实验 中 没有 给 出 防火 墙 路 由 的 配置 ,需要 根据 实际 网 络 情况 在 防火 墙 上 配置 
访问 Internet( 通 常 使 用 默认 路 由 ) 和 内 部 不 同 子 网 络 的 路 由 。 


23 ”使 用 防火 墙 实 现 安全 NAT 


【实验 名 称 】 


使 用 防火 墙 实 现 安全 NAT。 

【实验 目的 】 

利用 防火 墙 的 安全 NAT 功能 实现 网 络 地 址 转换 及 访问 控制 。 

【背景 描述 】 

某 企 业 网 络 的 出 口 使 用 了 一 台 防 火 墙 作 为 接 人 Internet 的 设备 ,并 且 内 部 网 络 使 用 
私有 IP 地 址 (RFC 1918) 。 现 在 需要 使 用 防火 墙 的 安全 NAT 功能 在 内 部 网 络 中 使 用 私 
有 地 址 的 主机 来 访问 Internet 资源 ,并 且 还 需要 进行 访问 控制 ,只 允许 必要 的 流量 通过 防 
火 墙 。 

企业 内 部 网 络 使 用 的 私有 地 址 段 为 10. 1. 1. 0/24、10. 1. 2. 0/24 和 10. 1. 3. 0/24。 经 
理 使 用 的 子 网 为 10. 1. 1. 0/24, 设 计 部 使 用 的 子 网 为 10. 1. 2. 0/24 ,其 他 员工 使 用 的 子 网 
为 10.1. 3. 0/24。 并 且 公司 在 公 网 上 有 一 台 IP 地 址 为 200. 1.1. 1 的 外 部 FTP 服务 器 。 

现在 需要 在 防火 墙 上 进行 访问 控制 ,使 经 理 的 主机 可 以 访问 Internet 中 的 Web 服务 
器 和 公司 的 外 部 FTP 服务 器 ,并 能 够 使 用 邮件 客户 端 (SMTP/POP3) 收 发 邮件 ;设计 部 
的 主机 可 以 访问 Internet 中 的 Web 服务 器 和 公司 的 外 部 FTP 服务 器 ;其 他 员工 的 主机 
只 能 访问 公司 的 外 部 FTP 服务 器 。 


【需求 分 析 】 


企业 网 络 需要 使 用 私有 地 址 的 内 部 网 络 访问 Internet, 并 且 对 内 部 网 络 浏览 Internet 
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的 流量 进行 限制 ,防火 墙 的 安全 NAT 功能 可 以 同时 满足 这 两 个 需求 。 


【实验 拓扑 】 


如 图 2-37 所 示 的 网 络 拓扑 ,企业 网 络 使 用 私有 地 址 内 部 网 络 来 访问 Internet, 并 且 对 
内 部 网 络 浏览 Internet 的 流量 进行 限制 ,配置 防火 墙 的 安全 策略 以 实现 企业 内 部 网 络 安 
全 访问 控制 需求 。 


101.1.1.1/30 
公司 外 部 FTP 服务 器 
200.1.1.1 


LAN 
192.168.1.1/24 


经 理 设计 部 其 他 员工 
10.1.1.024 10.1.2.0/24 -10.1.3.0/24 


图 2-37 防火 墙 实现 安全 NAT 网络 规 划 拓扑 图 


【实验 设备 】 
防火 墙 连接 到 Internet 的 链 路 
防火 墙 1 台 

路 由 器 1 台 

PC 3 台 

FTP 服务 器 1 台 


【预备 知识 】 

。 网 络 基础 知识 。 

。 防火墙 的 基础 知识 。 
【实验 原理 】 


实现 安全 的 NAT 地 址 转换 是 防火 墙 的 基本 功能 ,防火 墙 的 安全 NAT 规则 可 以 根据 
数据 包 的 源 IP 地 址 、 目 的 IP 地 址 、 服 务 (端口 号 ) 等 对 通过 防火 墙 的 报 文 进 行 检测 ,并 进 
行 必要 的 地 址 转换 。 
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【实验 步骤 】 
1. 配置 防火 墙 接 口 的 IP 地 址 


如 图 2-38 所 示 ,进入 防火 墙 的 配置 页 面 , 即 “网 络 配置 六 接口 IP” 页 面 , 单 击 “ 添 加 ” 按 
钮 ,为 接口 添加 IP 地址 。 


1 页 /1 页 


nam" FI sr EBS)i* 
图 2-38 防火 墙 的 配置 页 面 
为 防火 墙 的 LAN 接口 配置 IP 地 址 及 子 网 掩 码 ,如 图 2-39 所 示 。 


添加 、 编 辑 接 口 IP 


EE 


192.168.1.1 


255. 255. 255.0 


图 2-39 配置 防火 墙 LAN 接口 的 卫 地 址 
为 防火 墙 的 WAN 接口 配置 IP 地 址 及 子 网 掩 码 , 如 图 2-40 所 示 。 


p= 司 


101.1.1.1 


255. 255. 255. 252 
F 


图 2-40 配置 防火 墙 WAN 接口 的 他 地 址 
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2-41 配置 防火 墙 接口 的 全 地 址 


2 配置 针对 经 理 的 主机 的 安全 NAT 规 则 
进入 防火 墙 配置 页 面 , 即 "安全 策略 福安 全 规则 ”页面 , 单 击 页 面 上 方 的 "NAT 规则 ” 


按钮 ,添加 NAT 规则 ,如 图 2-42 所 示 。 


图 2-42 配置 防火 墙 的 安全 策略 页 面 
添加 允许 经 理 的 主机 访问 Internet 中 的 Web 服务 器 的 NAT 规则 ,如 图 2-43 所 示 。 


manager_http 【 1-15 位 字母、 数字、 减 号 、 下 烛 战 的 组 合 ) 
ES | [ER 
地 址 10.LL0 。。] 。。 目的 地 址 : 二 地 直 
兵 码 [255.255.255.0 ] 拓 码 

服务 : [http 


101.1.1.1 


2-43 ”添加 Web 服务 器 的 NAT 规则 


添加 允许 经 理 的 主机 进行 DNS 域名 解析 的 NAT 规则 ,如 图 2-44 所 示 。 
添加 允许 经 理 的 主机 访问 公司 外 部 FTP 服务 器 的 NAT 规则 ,如 图 2-45 所 示 。 


添加 允许 经 理 的 主机 使 用 邮件 客户 端 发 送 邮件 CSMTP) 的 NAT 规则 ,如 图 2-46 
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kT 规则 维护 


nanager_dns 【 115 位 字母 数字 、 减 号 、 下 XI& 的 姐 合 ) 
手工 区 入 日 
TIP 10.1.1.0 目的 地 址 - 


掩 码 |255.255.255.0 


101.1.1.1 


图 2-44 添加 DNS 域名 解析 的 NAT 规则 


了 AT 规则 维护 


Manager_ftp 《1-15 位 字母 、 数 字 、 减 号 下 划 绕 的 组 合 ) 


手工 策 入 四 
ITP 地址 10.1.1.0 目的 地 址 : 


掩 码 [255.255.255.0 
101.1.1.1 Is 


2-45 添加 FTP 服务 器 的 NAT 规则 


规则 名 : manager_sntp (1-15 位 字母 、 数 字 、 减 号 、 下 的 组 合 ) 
ES | ry 日 
源 地 址 TP 地 址 | 10.1.1.0 目的 地 址 : 地 址 | 
捧 码 [255.255.255.0 ] 氛 至 |] 
* 源 地 址 转换 为 10LLL1 口 5: sntp 日 
检查 流入 网 口 : Te 日 。 六 tO: [van 日 
时 间 调 度 : 9 流量 控制 - 加 | 
用 户 认证 : 口 日 志 记录 : 口 
WRL 过 涛 : 四 障 道 名 : 口 
寿 号 4 
连接 限制 : 厂 保护 主机 厂 保护 服务 厂 限制 主机 厂 限制 服务 


[mnT- 订 用 并 定 中 取 治 | 


2-46 ”添加 发 送 邮 件 (SMTP) 的 NAT 规则 
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添加 允许 经 理 的 主机 使 用 邮件 客户 
所 示 。 


端 接收 邮件 (POP3) 的 NAT 规则 ,如 图 2-47 


manager_pop3 


(1-15 位 字母 、 数 字 、 减 号 、 下 划 绕 的 组 合 ) 


手工 输入 


TP 地 址 [10.1.1.0 目的 地 址 


掩 码 [255.255.255.0 


101.1.1.1 


2-47 添加 接收 邮件 (POP3) 的 NAT 规则 


3 配置 针对 设计 部 的 主机 的 安全 NAT 规 则 
添加 允许 设计 部 的 主机 访问 Internet 中 的 Web 服务 器 的 NAT 规则 ,如 图 2-48 


所 示 。 


design_http 


(1-15 位 字母 、 数 字 、 减 号 、 下 划 央 的 组 合 ) 


[ITW 和 和 | any 


IP 地 址 | 10.1.2.0 目的 地 址 王 地 址 | 
掩 码 | 255.255.255.0 掩 三 


101.1.1.1 


图 2-48 配置 访问 Internet 中 的 Web 服务 器 的 NAT 规则 


添加 允许 设计 部 的 主机 进行 DNS 域名 解析 的 NAT 规则 ,如 图 2-49 所 示 。 
添加 允许 设计 部 的 主机 访问 公司 外 部 FTP 服务 器 的 NAT 规则 ,如 图 2-50 所 示 。 


4 配置 针对 其 他 员工 的 主机 的 安全 NAT 规 则 
添加 允许 其 他 员工 的 主机 访问 公司 外 部 FTP 服务 器 的 NAT 规则 ,如 图 2-51 所 示 。 
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了 AT 规则 维护 


(1-15 位 字母 、 数 字 、 沽 号， 下 旭 纵 的 组 合 ) 


9| 
mtt[1o.L20 | 


掩 码 | 255 255 255.0 


101.1.1.1 


designftp 《1-15 位 字母， 数字 、 减 号 、 下 RA 组 合 ) 


EN 日 ES 有 旧 
10.1.2.0 目的 地 址 TP 地 址 [200 .11.1 
掩 码 | 255.255 .255.0 掩 “ 码 | 255.255.255 255 


101.1.1.1 ftp 


enployee_ftp (1-15 位 字母 、 数 字 、 减 号 、 下 X 的 姐 合 ) 


ES 日 [E22 


TP 地 址 | 10.1.3.0 目的 地 址 : 
掩 码 | 255.255.255.0 


101.1.1.1 


TP 地 址 | 200.1.1.1 


掩 码 [255.255.255.255| 


图 2-51 添加 FTP 服务 器 的 NAT 规则 (2) 
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5 访问 规则 
查看 配置 的 访问 规则 ,如 图 2-52 所 示 。 


应 3 规则 名 福地 址 目的 二 址 服务 类 型 选项 生效 
ml manager_http 10.1.10 ay http JEAT 搬 则 Ce 
Ds pes 10.110 ay i AT 白 则 v 
加 manager_ftp 10.1.10 200.1.1.1 ftp 取 T 磊 则 bd 
= Pr uy mt DAT 白 则 v 
Ps manager_pop3 10110 ay pop3 AT 天 则 v 
Ds design http 10.1.20 ny http AT 扳 则 v 
‘ml design_dns 10.120 ay dns DAT 搬 则 v 
De design_ftp 10.1.20 200.1.1.1 ftp 大 则 bi 
a mployee_ftp 10.1.30 200.1.1.1 ftp DAT 白 则 v 
图 2-52 查看 配置 的 访问 规则 
6 验证 测试 


。 经 理 的 主机 可 以 访问 Internet 中 的 Web 服务 器 和 公司 的 外 部 FTP 服务 器 ,并 能 
够 使 用 邮件 客户 端 (“SMTP/POP3) 收 发 邮件 。 

。 设计 部 的 主机 可 以 访问 Internet 中 的 Web 服务 器 和 公司 的 外 部 FTP 服务 器 。 

。 其 他 员工 的 主机 只 能 访问 公司 的 外 部 FTP 服务 器 。 


【注意 事项 】 


。 防火 墙 的 NAT 规则 是 按照 顺序 进行 匹配 的 ,如 果 数 据 流 匹配 到 某 条 规则 后 ,将 不 
再 进行 后 续 规 则 的 匹配 。 

。 默认 情况 下 ,防火墙 拒 绝 所 有 没有 明确 允许 的 数据 流通 过 ,并 且 不 对 其 进行 地 址 
转换 。 

。 在 本 实验 中 没有 给 出 防火 墙 路 由 的 配置 ,需要 根据 实际 网 络 情况 在 防火 墙 上 配置 
访问 Internet( 通 常 是 默认 路 由 和 内 部 网 络 的 路 由 。 

* 本 实验 没有 给 出 内 部 网 络 中 路 由 器 的 配置 ,为 了 实现 网 络 的 互通 ,需要 在 路 由 器 
上 配置 地 址 和 相关 路 由 信息 。 


2.4 配置 防火 墙 地 址 绑 定 


【实验 名 称 】 
配置 防火 墙 地 址 绑 定 。 
【实验 目的 】 


利用 防火 墙 对 上 网 用 户 的 IP 地 址 与 MAC 地 址 进行 绑 定 。 
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【背景 描述 】 
某 企 业 网 络 管理 员 发 现 ,一 些 用 户 经 常 盗 用 其 他 用 户 的 IP 地 址 ,造成 其 他 用 户 不 能 
正常 访问 网 络 资源 。 


【需求 分 析 】 


企业 要 求 必 须 在 防火 墙 上 解决 该 问题 ,避免 盗用 地 址 的 情况 再 次 出 现 。 地 址 绑 定 技 
术 是 防止 IP 欺骗 和 防止 次 用 IP 地 址 的 有 效 手 段 。RG-WALL 防火 墙 提 供 自动 探测 IP/ 
MAC 地 址 对 功能 ,可 以 减轻 管理 员 手 工 收集 IP/ MAC 地 址 对 的 工作 量 。 


【实验 拓扑 】 


如 图 2-53 所 示 的 网 络 拓扑 ,企业 网 络 要 求 必须 在 防火 墙 上 解决 盗用 地 址 的 情况 再 次 
出 现 。 地 址 绑 定 技术 是 防止 IP 欺骗 和 防止 盗用 IP 地 址 的 有 效 手 段 ,配置 防火 墙 的 地 址 
绑 定 以 实现 企业 内 部 网 络 安全 访问 控制 需求 。 


PC3 
172.16.1.2/24 
WAN 
172.16.1.1/24 


FireWall 


LAN 
192.168.1.1/24 


Switch 


PCl 
192.168.1.10/24 2 
MAC: 0001-0001-0001 192L68 T2024 


图 2-53 防火 墙 实现 地 址 绑 定 网 络 规划 拓扑 图 


PC2 


【实验 设备 】 

交换 机 1 台 

防火 墙 1 人 台 

PC 3 台 

【预备 知识 】 

。 网 络 基础 知识 。 

。 防火 墙 工作 原理 。 

【实验 原理 】 

如 果 防 火 墙 某 接口 配置 了 IP/MAC 端口 地 址 绑 定 功能 ,并 设置 了 相应 策略 (允许 或 
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禁止 ) , 当 该 接口 接收 数据 包 时 ,防火 墙 将 根据 数据 包 中 的 源 IP 地 址 与 源 MAC 地 址 , 匹 
配 管理 员 设置 好 的 IP/MAC 地 址 绑 定 表 。 如 果 地 址 绑 定 表 中 查找 成 功 , 则 按 匹 配 的 策略 
允许 或 禁止 数据 包 通 过 ,不 匹配 则 禁止 数据 包 通 过 。 如 果 查 找 失败 , 则 按 默 认 策略 执行 。 


【实验 步骤 】 


1 配置 防火 墙 接口 的 IP 地 址 
如 图 2-54 所 示 ,进入 防火 墙 的 配置 页 面 , 即 “ 网 络 配置 六 接口 IP” 页 面 , 单 击 “ 添 加 ” 按 


钮 ,为 接口 添加 IP 地 址 。 


wa sn ED 


图 2-54 防火 墙 的 配置 页 面 


为 防火 墙 的 LAN 接口 配置 IP 地 址 及 子 网 掩 码 ,如 图 2-55 所 示 。 


192.168.1.1 


255. 255. 255. 0 
rc 


rc 
[J 
多 许 管理 主机 Traceroute: 国 


图 2-55 ”配置 防火 墙 LAN 接口 的 IP 地 址 


为 防火 墙 的 WAN 接口 配置 IP 地 址 及 子 网 掩 码 , 如 图 2-56 所 示 。 


172.16.1.1 


255. 255. 255.0 


图 2-56 配置 防火 墙 WAN 接口 的 耳 地址 
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未 局 用 


LL 
192.168.1.1 
IT2.16.1.1 


图 2-57 配置 防火 墙 接口 的 信息 


2 启用 IPMAC 绑 定 

进入 防火 墙 配置 页 面 , 即 “ 安 全 策略 福地 址 绑 定 ” 页 面 , 首 先 启 用 LAN 接口 的 IP/ 
MAC 绑 定 功能 ,并 设置 默认 策略 为 允许 , 即 如 果 未 查找 到 IP/MAC 绑 定 条 目 , 则 允许 数 
据 包 通 过 。 配 置 完 成 后 , 单 击 “确定 ”按钮 ,如 图 2-58 所 示 。 


区 许 合 森 止 会 
| | 


图 2-58 配置 防火 墙 安全 策略 


3 配置 IRMAC 地 址 对 


如 图 2-59 所 示 , 单 击 页 面 上 的 “添加 ”按钮 ,为 PC1 手工 添加 IP/MAC 地 址 来 绑 定 条 
目 ( 假 设 PC1 的 MAC 地 址 为 00-01-00-01-00-01) ,添加 结果 如 图 2-60 所 示 。 


192. 168.1.10 


00:01:00:01:00:01 


2-60 手工 添加 IP/MAC 地 址 绑 定 条 目 
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4 配置 安全 规则 
如 图 2-42 所 示 , 进 入 防火 墙 配 置 页 面 , 即 “安全 策略 兮 安全 规则 ”页 面 ,创建 允许 
ICMP 的 包 过 滤 规 则 ,如 图 2-61 所 示 。 


包 过 湛 规 则 维护 


规则 各 加 ( 4-15 位 字母 、 数字 、 减 号 、 下 划 名 的 姐 合 ) 

ny 日 any 上 日 
源 地 址 地 址 目的 地 址 ITP 址 [ 

扼 玛 撼 玛 [ 
as E | 


| 
检查 流入 网 口 -| 检查 流出 同 品 B| 
ag a i 
用 户 认证 口 日 志 记录 : La 
隧道 名: 口 序号 : 3 
连接 限制 口 保护 主机 万 保护 服务 三 限制 主机 三 限制 服务 

| 确定 上 取 汶 | 


图 2-61 配置 防火 墙 包 过 滤 的 安全 规则 


5 验证 测试 

。 在 PC1 上 执行 ping 172. 16.1.2. 可 以 ping 通 。 

。 更 改 PC1 的 地 址 为 PC2 的 地 址 192. 168. 1. 20 ,再 次 执行 ping 172. 16. 1. 2, 则 无 
法 ping 通 。 因 为 在 防火 墙 中 已 经 配置 了 PC1 的 IP/MAC 绑 定 ,所 以 防火 墙 将 
PC1( 修 改 IP 地 址 后 ) 发 送 的 报 文 丢弃 。 


25 使 用 防火 墙 实现 URL 过 滤 


【实验 名 称 】 

使 用 防火 墙 实现 URL 过 滤 。 

【实验 目的 】 

利用 防火 墙 的 URL 过 滤 功 能 对 用 户 的 Web 访问 进行 控制 。 
【背景 描述 】 


某 企业 网 络 的 出 口 使 用 了 一 台 防 火 墙 作为 接 入 Internet 的 设备 ,并 且 内 部 网 络 使 用 
私有 编 址 方案 。 最 近 网 络 管理 员 发 现 , 一 些 员工 在 上 班 时 间 经 常 访 问 一 些 娱乐 网 站 (例如 
www. sohu. com) ,影响 了 工作 质量 。 

现在 公司 希望 员工 在 上 班 时 间 不 能 访问 这 些 网 站 (如 www. sohu. com) ,但 是 广告 部 
员工 因为 业务 需要 ,可 以 访问 这 些 网 站 获取 信息 。 

43 


IE 网 络 安全 防御 技术 实践 教程 ”IE 


【需求 分 析 】 


为 了 限制 内 部 用 户 访问 Web 站 点 ,可 以 使 用 防火 墙 的 URL 过 滤 功 能 ,使 防火 墙 阻 断 
内 部 用 户 对 某 些 站 点 (URL) 的 访问 请 求 。 


【实验 拓扑 】 


如 图 2-62 所 示 的 网 络 拓扑 ,企业 网 络 要 求 限制 内 部 用 户 访问 Web 站 点 ,使 用 防火 墙 
的 URL 过 滤 功 能 ,使 防火 墙 阻 断 内 部 用 户 对 某 些 
站 点 (URL) 的 访问 请 求 ,以 实现 企业 内 部 网 络 安 
全 访问 控制 需求 。 


WAN 
1.1.1.1/24 


‘ LAN 
【实验 设备 】 192.168.1.1/24 wn 

'{ 
防火 墙 连接 到 Internet 的 链 路 
防火 墙 1 台 
PC 2 台 

io 普通 员工 广告 部 员工 

【预备 知识 】 192.168.1 .30124 192.1 68.1.200724 
。 网 络 基础 知识 。 图 2-62 企业 网 络 使 用 防火 墙 的 URL 
。 防火 墙 的 基础 知识 。 过 滤 网 络 规划 拓扑 图 
【实验 原理 】 


防火 墙 的 URL 过 滤 功 能 可 以 对 用 户 的 URL 请 求 进 行 过 滤 , 只 有 配置 在 规则 中 允许 
访问 的 目标 URL 的 请 求 才能 够 通过 防火 墙 。 


【实验 步骤 】 


1 配置 防火 墙 接口 的 IP 地址 
进入 防火 墙 的 配置 页 面 , 即 “网络 配 置 优 接口 IP” 页 面 , 单 击 “ 添 加 ”按钮 ,为 接口 添加 
IP 地 址 。 为 防火 墙 的 LAN 接口 配置 IP 地 址 及 子 网 掩 码 ,如 图 2-63 所 示 。 
和 添加、 篇 辑 接口 IP 


区 本 


192. 168.1.1 


255. 255. 255. 0 


rc 


2-63 配置 防火 墙 LAN 接口 的 IP 地 址 
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为 防火 墙 的 WAN 接口 配置 IP 地 址 及 子 网 掩 码 , 如 图 2-64 所 示 。 


添加 、 篇 辑 接 口 IP 


L111 


255. 255. 255. 0 


图 2-64 配置 防火 墙 WAN 接口 的 全 地 址 


2 配置 默认 路 由 
进入 防火 墙 的 配置 页 面 , 即 “ 网 络 配 置 兮 策略 路 由 ”页 面 , 单 击 “ 添 加 ”按钮 ,添加 一 条 
浏览 Internet 的 默认 路 由 ,如 图 2-65 所 示 。 


添加 、 篇 名 策 呈 路由 
人 路 由 人 库 8 由 个 路由 负 吉 均 和 
目的 地 址 ; 0.0.0.0 0 | 


人 地 址 | 1.1.1.2 C wa 设备 | 无 5| 


下 一 跳 地 址 - 


图 2-65 配置 防火 墙 的 策略 路 由 


3 配置 广告 部 的 NAT 规 则 
如 图 2-42 所 示 ,进入 防火 墙 配置 页 面 , 即 "安全 策略 文安 全 规则 ”页 面 , 单 击 页 面 上 方 
的 "NAT 规则 ?按钮 ,添加 NAT 规则 ,如 图 2-66 所 示 。 


IAT 规 则 维护 


【1-15 位 字母 、 数字 、 减 号 、 下 划 线 的 组 合 ) 


ny 日 
目的 地 址 本 地 址 
疤 到 | 


any -| 


加 


2-66 配置 防火 墙 的 安全 策略 
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4 配置 URL 列 表 

进入 防火 墙 配置 页 面 , 即 * 对 象 定义 六 URL 列表 ”页 面 , 单 击 “ 添 加 ”按钮 ,创建 URL 
列表 。 

选择 URL 列表 的 类 型 为 “ 黑 名 单 ”, 即 拒绝 访问 该 URL; 在 “http 端口 "文本 框 中 输入 
默认 的 端口 80; 在 “添加 关键 字 "文本 框 中 输入 URL 的 关键 字 , 如 图 2-67 所 示 。 


添加 、 编 辑 UEL 过 活 
* 名 称 ; deny_sohu 【1-15 位 字母、 数字 、 减 号 、 下 划 烧 的 组 合 ) 
a: [于 ” 辐 

* http 纺 口 : 80 【 多 个 端口 用 英文 逗号 分 隔 ) 


取 记 录 允 许 访问 的 RL 
娶 记录 被 禁止 访问 的 JRL 


图 2-67 配置 防火 墙 的 URL 列表 


5 配置 普通 员工 的 NAT 规 则 

进入 防火 墙 配置 页 面 , 即 * 安 全 策略 福安 全 规则 ”页 面 , 单 击 页 面 上 方 的 "NAT 规则 ” 
按钮 ,添加 NAT 规则 。 

在 NAT 规则 的 “URL 过 滤 " 下 拉 列表 中 选择 刚才 创建 的 URL 列表 ,如 图 2-68 所 示 。 


WAT 规 则 维护 


(1-15 位 字母、 数字 、 减 号 、 下 划 线 的 组 合 ) 


any 
目的 地 址 : 地址 | 
掩 码 


口 
[deny_sohu 


2 


厂 保护 主机 厂 保护 骤 务 厂 限制 主机 厂 限制 服务 


图 2-68 配置 防火 墙 的 NAT 规则 
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图 2-69 配置 完 防火 墙 后 的 规则 列表 


6 验证 测试 
在 广告 部 的 PC 上 使 用 浏览 器 访问 www. sohu. com, 可 以 成 功 访问 该 网 站 ,如 
图 2-70 所 示 。 
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图 2-70 验证 测试 (1) 


在 普通 员工 的 PC 上 使 用 浏览 器 访问 www. sohu. com, 将 无 法 打开 该 网 页 ,因为 防火 
墙 已 经 阻 断 访问 www. sohu. com 的 请 求 , 如 图 2-71 所 示 。 


【注意 事项 】 
。 防火墙 的 NAT 规则 是 按照 顺序 进行 匹配 的 ,如 果 数 据 流 匹 配 到 某 条 规则 后 ,将 不 
再 进行 后 续 规则 的 匹配 。 所 以 需要 将 广告 部 的 NAT 规则 放置 在 其 他 用 户 的 


NAT 规则 的 前 面 。 
。 在 本 实验 中 防火 墙 WAN 接口 使 用 的 地 址 为 虚拟 的 ,请 根据 实际 网 络 情况 配置 正 


确 的 公 网 地 址 和 默认 路 由 的 下 一 跳 地 址 。 
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ET 四 
ORO | Dm vm | je 


MEO hapywww.sohucoml 可 回 几 | 全 ”> 


[说 取消 强 作 


Internet Explorer 不 能 链接 到 引 请 求 的 网 页 。 此 页 可 能 暂时 不 可 用 。 


请 尝试 以 下 损 作 : 


。 单 击 [人 刷新 按钮 ,或 以 后 再 试 。 
。 如 果 您 以 前 查看 过 该 页 , 现在 要 查看 计算 机 上 存 请 的 内 容 ， 请 音 
orer 操 机 浏览 的 信息 ， 请 单 击 必 
助 荣 单 ， 然 后 单 击 目录 和 索引 


TInternet Explorer 


IE 三 三 三 丰 让 大 Wemet 元 
图 2-71 验证 测试 (2) 


2.6 ”使 用 防火 墙 保护 服务 资源 


【实验 名 称 】 

使 用 防火 墙 保护 服务 资源 。 
【实验 目的 】 

利用 防火 墙 保护 服务 器 的 资源 。 
【背景 描述 】 


某 公 司 使 用 防火 墙 作为 网 络 出 口 设备 ,并 且 在 防火 墙 的 DMZ 区 域 中 部 署 一 台 提供 
对 外 服务 的 Web 服务 器 。 但 网 络 管理 员 经 常 发 现 有 大 量 浏览 服务 器 的 连接 ,致使 消耗 了 
服务 器 的 大 量 系统 资源 ,使 其 不 能 提供 良好 的 服务 。 为 了 使 Web 服务 器 正常 提供 服务 
需要 保护 服务 器 的 系统 资源 ,限制 浏览 服务 器 的 连接 数 。 


【需求 分 析 】 


通过 控制 浏览 服务 器 的 连接 数 ,从 而 保护 服务 器 的 系统 资源 ,使 服务 器 正常 提供 服 
务 。 防 火 墙 的 服务 保护 功能 可 以 对 浏览 服务 器 的 连接 数量 进行 限制 。 


【实验 拓扑 】 
如 图 2-72 所 示 的 网 络 拓扑 ,企业 网 络 为 了 使 Web 服务 器 正常 提供 服务 ,保护 服务 器 
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攻击 主机 
国 1.1.1.2/24 


192.168.1.1/24 


Web Server 
192.168.1.10/24 


图 2-72 防火 墙 限制 服务 器 连接 数 网 络 规划 拓扑 图 


【实验 设备 】 


防火 墙 1 合 
PC 2 台 ( 一 台 作 为 Web 服务 器 ; 另 一 台 模 拟 外 部 网 络 的 攻击 主机 ) 
Web 服务 器 软件 程序 TCP 攻击 软件 程序 


【预备 知识 】 

。 网络 基 础 知识 。 
防火墙 工 作 原理 。 
【实验 原理 】 


服务 保护 是 防火 墙 的 一 种 安全 功能 ,可 以 限制 从 某 个 区 域 到 达 另 外 一 个 区 域 中 主机 
或 服务 器 的 连接 数 。 


【实验 步骤 】 


1 配置 防火 墙 接口 的 IP 地 址 
如 图 2-73 所 示 ,进入 防火 墙 的 配置 页 面 , 即 “网 络 配置 仿 接 口 IP” 页 面 , 单 击 “添加 ” 按 
钮 ,为 接口 添加 IP 地址。 


2-73 配置 防火 墙 接口 的 了 P 地 址 
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为 防火 墙 的 DMZ 接口 配置 IP 地址 及 子 网 掩 码 ,如 图 2-74 所 示 。 


添加 、 篇 辑 接口 IF 


192.168.1.1 


255. 255. 255.0 


允许 管理 主机 PING: 
允许 管理 主机 Traceroute; 


图 2-74 配置 防火 墙 DMZ 接口 的 人 地址 


为 防火 墙 的 WAN 接口 配置 IP 地址 及 子 网 掩 码 , 如 图 2-75 所 示 。 


添加 、 篇 辑 接口 IP 
wan 可 


机 页 再 | 


255. 255. 255.0 
c 


用 于 管理 ; 
允许 管理 主机 PING; 
多 洗 管理 主机 Traceroute; 


图 2-75 配置 防火 墙 WAN 接口 的 IP 地址 


2 配置 端口 映射 规则 

为 了 使 Internet 中 的 用 户 可 以 访问 DMZ 中 的 Web 服务 器 ,需要 在 防火 墙 上 使 用 端 
口 映 射 规则 ,将 Web 服务 器 发 布 到 Internet 中 。 

进入 防火 墙 配置 页 面 , 即 “安全 策略 广安 全 规则 ?页 面 , 单 击 页 面 上 方 的 “端口 映射 规 
则 ”按钮 ,添加 端口 映射 规则 。 规 则 中 的 “公开 地 址 ”为 防火 墙 外 部 接口 (WAN) 的 地 址 ; 
“内 部 地 址 ”为 DMZ 中 的 Web 服务 器 的 地 址 ;* 内 部 服务 ”为 Web 服务 器 提供 Web 服务 使 用 
的 端口 号 ,这 里 使 用 默认 的 80 端口 (HTTP);“ 对 外 服务 ”为 Internet 用 户 访问 Web 服务 器 
时 使 用 的 在 外 部 看 到 的 端口 号 ,这 里 也 使 用 默认 的 80 端口 (HTTP) ,如 图 2-76 所 示 。 

3 验证 测试 

在 DMZ 中 的 PC 上 安装 好 Web Server 程序 ,并 进行 相应 的 配置 。 在 外 部 PC 上 测试 


浏览 Web 服务 器 的 连通 性 ,注意 这 里 使 用 的 目标 地 址 为 1. 1. 1. 1。 防 火 墙 将 其 发 送 到 
1.1.1.1, 端 口 为 80 的 请 求 重 定 向 到 DMZ 中 的 Web 服务 器 ,如 图 2-77 所 示 。 
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(1-15 位 字母 、 数 字 、 沽 号、 下划线 的 组 合 ) 


* 公开 地 址 1.1.1.1 


手工 输入 
192.168.1.10 


而 i Le 4 


2-77 外 部 PC 测试 浏览 服务 器 的 连通 性 


外 部 PC 可 以 通过 预先 设置 的 用 户 名 和 密码 登录 到 Web 服务 器 ,如 图 2-78 所 示 。 


4 实施 TOP 攻击 

在 外 部 PC 上 使 用 TCP 连接 工具 向 Web 服务 器 发 起 攻击 ,建立 大 量 的 TCP 连接 。 
此 时 在 Web 服务 器 上 通过 Windows 命令 netstat -an 可 以 看 到 外 部 主机 与 Web 服务 器 
的 http 端口 建立 了 大 量 的 TCP 连接 ,状态 为 ESTABLISHED, 如 图 2-79 所 示 。 
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图 2-79 使 用 TCP 连接 工具 向 Web 服务 器 发 起 攻击 


5 配置 服务 保护 规则 

进入 防火 墙 配置 页 面 , 即 “ 对 象 定义 全 连 接 限制 兮 保护 服务 ”页面 , 单 击 “ 添 加 ”按钮 ， 
创建 规则 。 

在 服务 保护 规则 中 , 源 地 址 使 用 0. 0. 0. 0/0, 即 代表 所 有 发 起 连接 的 源 地 址 ; 受 保护 
主机 为 DMZ 中 的 Web 服务 器 ; 受 保护 端口 为 Web 服务 器 的 端口 80; 最 后 勾 选 “限制 并 
发 连接 ” 复 选 框 ,将 同一 时 刻 最 多 存在 的 有 效 TCP 连接 数 设置 为 20, 如 图 2-80 所 示 。 


6 应 用 服务 保护 规则 

进入 防火 墙 配置 页 面 , 即 “安全 策略 福安 全 规则 ”页面 ,对 之 前 创建 的 端口 映射 规则 进 
行 编辑 。 在 该 规则 中 勾 选 "保护 服务 复 选 框 , 如 图 2-81 所 示 。 
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(I-15 位 字母 、 数 字 、 减 号 、 下 划 线 的 组 合 ) 
<* 源 地 址 ; 0.0.0.0 f [0.0.0.0 -| 


web_limit 


二 爱 保护 主机 : 192.168.1.10 
* 受 保护 端口: 80 | (1-65535 ) 
合 独 亨 推荐 ) 个 共享 


每 | 0 | (1-3600) 秒 最 多 允许 | 0 (1-65535) 个 TCF 连接 
限制 新 建 连 接 厂 ”超过 该 速率 后 

售 禁 上 当前 周期 内 的 后 续 连 接 愧 认 ) 

外 禁止 ] (1-65s35 且 大 于 连接 控制 周期) 秒 内 建立 新 连接 


个 独 享 全 共享 推荐 ) 
同一 时 刻 最 多 存在 | 20 


限制 并 发 连接 网 


(1-85535) 个 有 效 TC 连接 


1.1.1.1 


[Ex 


192.166.1.10 


图 2-81 应 用 服务 保护 规则 


7 验证 测试 

在 外 部 PC 上 使 用 TCP 连接 工具 再 次 向 Web 服务 器 发 起 大 量 攻 击 。 此 时 在 Web 服 
务 器 上 通过 Windows 命令 netstat -an 可 以 看 到 外 部 主机 与 Web 服务 器 的 80 端口 只 建 
立 20 个 TCP 连接 ,其 他 所 有 的 连接 建立 请 求 已 经 被 防火 墙 阻 断 ,如 图 2-82 所 示 。 


【注意 事项 】 
TCP 连接 数量 不 要 设置 得 过 小 ,这 样 可 能 导致 合法 的 连接 请 求 无 法 建立 。 
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TIME_WAIT 
AIT 


8.8.9.9:599 


图 2-82 ”应 用 服务 保护 规则 验证 测试 


2.7 配置 客户 端 认证 


【实验 名 称 】 
吧 置 客户 端 认证 。 
【实验 目的 】 
使 用 防火 墙 的 客户 端 认 证 功能 来 增强 访问 控制 的 安全 性 。 
【背景 述 】 


某 企 业 使 用 防火 墙 作为 网 络 出 口 设备 。 公 司 内 部 使 用 私有 编 址 方案 ,因此 在 防火 墙 
上 配置 了 NAT 规则 以 使 内 部 用 户 可 以 访问 Internet。 但 是 为 了 避免 非 授权 用 户 使 用 公 
司 带 宽 资源 来 访问 Internet ,需要 对 客户 端 进行 身份 验证 ,只 有 通过 身份 验证 的 用 户 才能 
访问 Internet。 此 外 ,管理 员 不 需要 进行 身份 验证 。 


【需求 分 析 】 


为 了 使 非 授 权 用 户 无 法 通过 防火 墙 访问 Internet, 可 以 利用 防火 墙 对 客户 端 进 行 认 
只 有 通过 身份 验证 的 用 户 才 能 访问 Internet。 


【实验 拓扑 】 


如 图 2-83 所 示 的 网 络 拓扑 ,企业 网 络 为 了 使 非 授 权 用 户 无 法 通过 防火 墙 访问 
Internet, 利 用 防火 墙 对 客户 端 进行 认证 ,只 有 通过 身份 验证 的 用 户 才 能 访问 Internet, 以 
实现 企业 内 部 网 络 安全 访问 控制 需求 。 
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FTP 服 务 器 
1.1.1.100/24 


LAN 
192.168.1.1/24 
内 部 用 户 管理 员 
192.168.1.5/24 192.168.1.200/24 


图 2-83 防火 墙 对 客户 端 进行 认证 网 络 规划 拓扑 图 


【实验 设备 】 

防火 墙 1 台 

RE 3 台 ( 其 中 一 台 模 拟 Internet 的 FTP 服务 器 ) 
FTP 服务 器 软件 程序 防火 墙 客户 端 认证 程序 


【预备 知识 】 


。 网 络 基础 知识 。 
。 防火 墙 工 作 原理 。 


【实验 原理 】 


RG-WALL 防火 墙 的 访问 控制 功能 可 以 对 客户 端的 身份 进行 验证 ,只 有 客户 端 通 过 
验证 后 , 才 允 许 通 过 安全 策略 来 访问 网 络 资源 。 


【实验 步骤 】 


1 配置 防火 墙 接口 的 IP 地 址 
进入 防火 墙 的 配置 页 面 , 即 “网 络 配 置 今 接口 IP” 页 面 , 单 击 “ 添 加 ”按钮 ,为 接口 添加 
IP 地 址 。 为 防火 墙 的 LAN 接口 配置 IP 地 址 及 子 网 掩 码 ,如 图 2-84 所 示 。 


区 本 


192. 168.1.1 


255. 255. 255. 0 


图 2-84 配置 防火 墙 LAN 接口 的 了 P 地 址 
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为 防火 墙 的 WAN 接口 配置 IP 地 址 及 子 网 掩 码 , 如 图 2-85 所 示 。 


添加 、 篇 辑 接 口 IP 


RT 


255. 255. 255. 0 


图 2-85 配置 防火 墙 WAN 接口 的 全 地 址 


2 配置 管理 员 的 NAT 规 则 
如 图 2-42 所 示 , 进 入 防火 墙 配置 页 面 , 即 “安全 策略 福安 全 规则 ”页 面 , 单 击 页 面 上 方 
的 “NAT 规则 ”按钮 ,添加 NAT 规则 , 即 可 启动 NAT 规则 配置 页 面 , 如 图 2-86 所 示 。 


规则 名 : natl ( 1-15 位 字母 、 数 字 、 减 号 、 下 划 绕 的 组合 ) 


[EZ ay 上 
主 地 直 节 直 [192 168 1 20 ] 。。 目的 地 址 mb 由 |] 


EW 才 到 


了 了 


日 志 记录 
1 了 LL 过 沽 : 是 Rs 各 : 
日 

三 保护 主机 三 保护 服务 三 限制 主机 三 限制 服务 


2-86 配置 管理 员 的 NAT 规则 


3 配置 内 部 用 户 的 NAT 规 则 

进入 防火 墙 配置 页 面 , 即 “安全 策略 福安 全 规则 ?页 面 , 单 击 页 面 上 方 的 "NAT 规则 ” 
按钮 ,添加 NAT 规则。 

在 内 部 用 户 的 NAT 规则 中 ,需要 勾 选 “ 用 户 认证 " 复 选 框 ,这 样 防火 墙 将 对 内 部 用 户 
进行 身份 验证 ,如 图 2-87 所 示 。 

配置 完 NAT 规则 后 的 规则 列表 如 图 2-88 所 示 。 

4 验证 测试 

在 管理 员 PC 上 访问 外 部 的 FTP 服务 器 1. 1. 1. 100, 可 以 成 功 访问 ,因为 管理 员 的 


NAT 规则 中 没有 要 求 进行 用 户 认证 ,如 图 2-89 所 示 。 
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* 源 地 址 转换 为 
执行 动作 
检查 流入 网 品 
时 间 调 度 

用 户 认证 : 

WL 过 源 

+ 序号 

连接 限制 


安全 策略 ?> 安全 规则 
Ps mtl 
[= nat 


aat2 ] (Cl5 位 字母 、 数字 、 减 号 、 下 的 组 合 ) 
手工 策 和 旧 ry 问 
了 ?地址 | 192.168.1.0 目的 地 址 ?地址 
掩 码 [255 255 255.0 挤 玛 
1.1.1.1 [-] 服务 hp I 
lan 加 检查 流出 网 口 van 卓 
日 流量 控 抽 口 
[a 日 志 记录 口 
上 RE 昌 


三 保护 主机 三 保护 服务 三 限制 主机 厂 限制 服务 


图 2-87 配置 内 部 用 户 的 NAT 规 则 


福地 址 目的 地 址 
192.165.1.200 uny 


192.168.1.0 wy 


[和 首页 “所 上 一 页 @ 下 一 页 四 ] 尾 页 


2\cmd.exe - Rp 
P TIKR 本 七 
681 时 rp 


gs Adninistrator 


服务 天 型 
王 au 规则 
any 了 AT 规则 


ipconfig 


图 2-89 配置 防火 墙 验证 测试 


在 内 部 用 户 PC 上 访问 外 部 的 FTP 服务 器 1. 1. 1. 100 ,访问 不 成 功 ,因为 内 部 
NAT 规则 中 要 求 进行 用 户 认证 ,如 图 2-90 所 示 。 


5 配置 用 户 组 


防火 墙 设备 实践 操作 技术 


日 户 的 


进入 防火 墙 配 置 页 面 , 即 “ 用 户 认证 污 用 户 组 "页面, 单 击 “ 添 加 ”按钮 ,添加 用 户 组 。 
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NDOWS\system32\cmd.exe - ftp L 


ettings \Adninistrator)ftp 1.1.1.188 


图 2-90 防火 墙 NAT 规则 验证 测试 


用 户 组 的 认证 协议 使 用 *PAP" 方 式 ,并 确认 已 匀 选 “启用 本 组 账号 ” 复 选 框 。 

在 “安全 策略 表 ” 区 域 中 单 击 “添加 ”按钮 ,设置 允许 该 组 用 户 从 哪些 地 址 和 什么 时 间 
进行 登录 ,这 里 我 们 选择 所 有 地 址 (any) 和 任何 时 间 ( 无 ) 

在 “可 使 用 服务 列表 ”区 域 中 单 击 “ 添 加 ”按钮 ,设置 允许 该 组 用 户 访问 哪些 地 址 、 服 务 
和 什么 时 间 可 以 访问 ,这 里 我 们 选择 所 有 地 址 (any)、 所 有 服务 (any) 和 任何 时 间 ( 无 ), 如 
图 2-91 所 示 。 


mu | 
+ 名称 inside_aser 。 ] 《1-15 位 字母 、 数字、 总 号、 下 基线 的 姐 合 ) 
认证 协议 FP 司 
分 配 流量 0 ( 108 千 字 节 范围 ; 0-4194304，0 表 示 无 限制 ) 
ei 0 (分 名 范围 ;0-65535，0 表 示 天 限制 ) 
了 账号 有 效 则 到 [2003 年 [2 月 Fo 日 
请。 [0 ] (天 苍 围 : 0-999, 0 表示 天 限制 ) 
局 用 本 姐 际 叶 ， 。 所 
自动 重生 厂 6 二 有 [01 辐 B 6 入 用 矿 司 

所 有 用 户 换 作 ”本 引用 户 
本 扯 用 户 EE 
a 亿 许 村 录 地 址 时 间 调度 到 加 

my ” 国 | 国 | 
可 便服 可 演 接 目的 地 址 可 使 用 服务 时 间 调 度 | 
表 

[er 辕 [a 国光 国 
备注 

图 2-91 配置 防火 墙 的 用 户 组 
6 配置 用 户 


进入 防火 墙 配置 页 面 , 即 “ 用 户 认证 仿 用 户 列表 ”页 面 , 单 击 “ 添 加 ”按钮 ,添加 用 户 。 
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输入 用 户 名 和 密码 ,将 用 户 加 入 到 之 前 创建 的 用 户 组 中 ,并 确认 已 勾 选 “ 启 用 本 账号 ” 
复 选 框 ,如 图 2-92 所 示 。 


testuser (1-15 位 字母 、 数 字 、 减 号 、 下 划 线 的 组 合 ) 
99099999@ (6-15 位 字母 、 数 于 、 部 分 特殊 字符 的 组 合 ) 
[TITIIIT) 


操作 ”用 户 所 属 组 


图 2-92 配置 用 户 
了 配置 安全 规则 
为 了 使 客户 端 能 够 认证 成 功 ,需要 添加 一 条 安全 规则 , 即 允 许 内 部 用 户 访问 防火 墙 的 
认证 流量 。 


进入 防火 墙 配 置 页 面 , 即 “ 安 全 策略 优 安 全 规则 ”页 面 , 单 击 * 包 过 滤 规 则 ”按钮 ,添加 
包 过 滤 规 则 。 规 则 中 的 源 地 址 为 192. 168. 1.0/24; 目 的 地 址 为 防火 墙 LAN 接口 的 地 址 ; 
在 “服务 ”下 拉 列 表 中 选择 “firewall_auth”, 这 是 客户 端 认 证 流量 使 用 的 端口 号 ;在 “检查 
流入 网 口 " 下 拉 列 表 中 选择 “lan” 接 口 。 

最 后 ,需要 将 该 规则 的 序号 设置 为 1, 否则 客户 端的 流量 将 匹配 第 二 条 NAT 规则 后 
进行 转换 ,导致 客户 端 认证 失败 ,如 图 2-93 所 示 。 


包 过 小 规则 维护 
| | 
规则 各: sllow_auth (1-15 位 字母 、 数 字 、 减 号 、 下 划 贱 的 组 合 ) 

源 地 址 ITP 地 址 [192.168.1.0 | 目的 地 址 IP 地 址 | 192. 168.1.1 

掩 码 [255.255.255.0 ] 掩 码 [255.255.255.255| 

服务 firewall auth || 

动作 : G 允许 个 禁止 WEL 过 涛 : 口 
检查 流入 网 口 lan [0 检查 流出 网 口 日 
Ma : 
用 户 认 证 : 口 日 志 记 录 口 

隐 道 名 口 序号 - 1 

连接 限制 启 保护 主机 三 保护 服务 三 限制 主机 口 限制 服务 


| 添加 -条 目 珊 定 有 了 下流 | 


2-93 配置 安全 规则 
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配置 完成 后 的 规则 列表 如 图 2-94 所 示 。 


图 2-94 配置 完成 后 的 规则 列表 


8 配置 客户 端 认 证 程序 

客户 端 认证 程序 在 防火 墙 配套 光盘 中 的 User Auth 文件 夹 中 ,双击 auth_client. exe 
文件 启动 该 程序 ,如 图 2-95 所 示 。 

在 “设置 ”菜单 中 选择 “服务 器 ”选项 ,配置 认证 服务 器 。 服 务 器 地 址 即 为 防火 墙 的 地 
址 ,端口 号 使 用 默认 的 9998, 如 图 2-96 所 示 。 


a RG-wALt 


2-95 配置 客户 端 认证 程序 图 2-96 配置 认证 服务 器 
在 “功能 ?菜单 中 选择 “连接 ?选项 ,输入 在 防火 墙 中 创建 的 用 户 名 和 密码 , 单 击 “ 连 接 ” 
按钮 进行 认证 ,如 图 2-97 所 示 。 
软件 提示 认证 成 功 如 图 2-98 所 示 。 


图 2-97 配置 认证 服务 器 用 户 名 和 密码 图 2-98 软件 提示 认证 成 功 


m= 60 m= 
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9 验证 测试 
在 内 部 用 户 PC 上 访问 外 部 的 FTP 服务 器 1. 1. 1. 100 ,此 时 可 以 成 功 访问 ,因为 已 经 
通过 了 身份 认证 ,如 图 2-99 所 示 。 


1.1.188 


图 2-99 规则 验证 测试 


【注意 事项 】 


防火 墙 的 NAT 规则 是 按照 顺序 进行 匹配 的 ,如 果 数 据 流 匹配 到 某 条 规则 后 ,将 不 再 
进行 后 续 规 则 的 匹配 。 所 以 需要 将 管理 员 的 NAT 规则 放置 在 内 部 用 户 的 NAT 规则 前 
面 , 并 且 将 用 户 认 证 的 包 过 滤 规 则 放置 在 内 部 用 户 的 NAT 规则 前 面 。 


2 8 配置 防火 墙 链 路 负载 


【实验 名 称 】 
配置 防火 墙 链 路 负载 。 

【实验 目的 】 

利用 防火 墙 来 实现 双 链 路 负载 分 担 。 
【背景 描述 


某 公 司 原 先 使 用 一 条 广域网 链 路 连接 Internet。 随 着 公司 员工 的 增加 ,原先 的 
Internet 链 路 已 经 不 能 满足 业务 需求 ,因此 公司 又 向 ISP 申请 了 一 条 Internet 线路 。 为 
了 合理 地 利用 带宽 ,避免 带宽 资源 的 浪费 ,公司 希望 在 两 个 Internet 链 路 上 进行 流量 的 负 
载 分 担 。 
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【需求 分 析 】 


为 了 使 流量 能 够 在 两 条 链 路 上 进行 负载 分 担 ,可 以 使 用 防火 墙 提供 的 策略 路 由 功能 。 


【实验 拓扑 】 


如 图 2-100 所 示 的 网 络 拓扑 ,企业 网 络 为 了 合理 地 利用 带宽 ,避免 带宽 资源 的 浪费 ， 


在 两 个 Internet 链 路 上 进行 流量 的 负载 分 担 ,使 
用 防火 墙 提供 的 策略 路 由 功能 ,以 实现 企业 网 络 


安全 访问 需求 。 
【实验 设备 】 


两 个 防火 墙 连接 Internet 的 链 路 


防火 墙 ”1 台 
PC 1 台 
交换 机 1 台 
【预备 知识 】 


。 网 络 基础 知识 。 
。 防火墙 工作 原理 。 


【实验 原理 】 


防火 墙 的 策略 路 由 功能 可 以 实现 路 由 的 负 


WAN1 
1.1.1.1/24 


WAN2 
2.2.2.1/24 


LAN 
192.168.1.1/24 


La 5 Switch 


PC 
192.168.1.10/24 


图 2-100 防火 墙 提供 的 策略 路 由 来 实现 
流量 负载 分 担 的 网 络 拓扑 图 


载 均衡 , 即 到 达 同 一 目的 地 的 报 文 可 以 指定 多 个 下 一 跳 地 址 。 


【实验 步骤 】 


1 配置 防火 墙 接口 的 IP 地址 
进入 防火 墙 的 配置 页 面 , 即 “网 络 配置 兮 接口 IP” 页 面 , 单 击 “ 添 加 ”按钮 ,为 接口 添加 
IP 地 址 。 为 防火 墙 的 LAN 接口 配置 IP 地 址 及 子 网 掩 码 ,如 图 2-101 所 示 。 


添加 、 篇 辑 接口 IP 


2-101 
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192.168.1.1 


255. 255. 255.0 


rc 


rc 
面 


配置 防火 墙 LAN 接口 的 卫 地 址 
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为 防火 墙 的 WAN 接口 配置 IP 地 址 及 子 网 掩 码 ,如 图 2-102 所 示 。 


添加 、 篇 辑 接口 IP 


要 页 再 1 


255. 255. 255.0 


图 2-102 配置 防火 墙 WAN 接口 的 了 P 地 址 


为 防火 墙 的 WANI1 接口 配置 IP 地 址 及 子 网 掩 码 , 如 图 2-103 所 示 。 


wanl 本 


2.2.2.1 


255. 255. 255.0 


允许 管 理 主机 PING: 


允许 管理 主机 Traceroute: 


2-103 ”配置 防火 墙 WAN1 接口 的 了 P 地 址 


2 配置 NAT 规 则 

进入 防火 墙 配置 页 面 , 即 “安全 策略 广安 全 规则 ”页面 , 单 击 页 面 上 方 的 "NAT 规则 ” 
按钮 ,添加 NAT 规则 。 

在 NAT 规则 中 ,将 “ 源 地 址 转换 为 ”设置 为 by_route, 表 明 防 火 墙 将 根据 路 由 器 来 确 
定 转换 后 的 地 址 ,如 图 2-104 所 示 。 


3 配置 策略 路 由 

进入 防火 墙 配置 页 面 , 即 “网 络 配置 六 策略 路 由 ”页面 , 单 击 * 添 加 ?按钮 配置 路 由 。 在 
策略 路 由 配置 框 中 选择 “路 由 负载 均衡 "选项 ,这 样 我 们 可 以 为 到 达 同 一 个 目的 地 的 网 络 
添加 多 个 下 一 跳 地 址 。 

配置 到 达 Internet 的 默认 路 由 0. 0. 0. 0/0 ,并 将 下 一 跳 设 置 为 两 个 ISP 的 地 址 ,权重 
都 配置 为 1, 这样 流 量 将 在 两 条 链 路 上 进行 平分 ,如 图 2-105 所 示 。 
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了 IT 规 则 维护 


natl 【1-15 位 字母 、 数 字 、 沽 号、 下划线 的 组 合 ) 
手工 殴 入 S| ay 
区 地 址 192. 168.1.0 目的 地 址 TT 地 址 | 


接 码 [255.255.255.0 掩 玛 


by_route 


添加 、 编 辑 策略 路 由 
个 路 由 个 宕 路 由 。 人 路 由 负载 均衡 


DT 站 CD 口 


441.4.2 1 (1-100) 


下 光 和 是 || (1-100) 


(1-100) 


2-105 配置 防火 墙 的 策略 路 由 


【注意 事项 】 


防火 墙 的 负载 均衡 按照 目的 地 址 进行 负载 , 即 到 达 地 址 A 的 报 文 走 第 一 条 链 路 ,并 
且 后 续 到 达 地 址 A 的 报 文 也 将 走 第 一 条 链 路 。 到 达 目 的 地 址 B 的 报 文 走 第 二 条 链 路 , 随 
后 到 达 地 址 C 的 报 文 将 走 第 一 条 链 路 。 


2.9 ”使 用 防火 墙 限制 连接 带宽 


【实验 名 称 】 
使 用 防火 墙 限制 连接 带宽 。 
【实验 目的 】 


利用 防火 墙 对 用 户 连 接 的 带宽 进行 有 效 控制 。 
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【背景 描述 】 

某 企业 使 用 5M 的 广域网 链 路 实现 与 Internet 的 互联 。 但 是 企业 的 网 络 管理 员 发 
现 , 最 近 公司 内 部 一 些 员工 经 常 下 载 一 些 容 量 很 大 的 文件 ,导致 大 量 的 带宽 资源 被 占用 ， 
影响 了 公司 正常 业务 的 开展 。 公 司 要 求 能 够 尽快 解决 该 问题 ,限制 用 户 从 Internet 上 下 
载 文件 所 占用 的 带宽 ,保证 带宽 资源 被 合理 地 
利用 。 


【需求 分 析 】 


使 用 防火 墙 的 带宽 限制 功能 ,可 以 限制 每 个 人 PP 
地 址 或 者 每 个 子 网 访问 外 部 服务 所 占用 的 带宽 。 


【实验 拓扑 】 192.168.1.124 


如 图 2-106 所 示 的 网 络 拓扑 ,企业 网 络 为 了 限 
制 用 户 从 Internet 上 下 载 文件 所 占用 的 带宽 ,保证 


Web 服 务 器 
1.1.1.100/24 


带宽 资源 被 合理 地 利用 ,使 用 防火 墙 提供 的 带宽 pa 


限制 功能 ,限制 每 个 IP 地 址 或 者 每 个 子 网 访问 外 ”图 2106 防火 墙 带宽 限制 网 络 访问 
部 服务 所 占用 带宽 ,以 实现 企业 网 络 安全 访问 需 规划 拓扑 图 
求 规划 。 


【实验 设备 】 
防火 墙 。 1 人 台 


PC 2 台 ( 其 中 一 台 模 拟 Internet 中 的 Web 服务 器 ) 
Web 服务 器 软件 程序 


【预备 知识 】 
，。 网 络 基础 知识 。 
。 防 火 增 工 作 原理 。 


【实验 原理 】 


RG-WALL 防火 墙 集成 了 QoS( 服 务 质量 ) 功 能 ,利用 防火 墙 的 带宽 控制 功能 ,可 以 
限制 每 个 IP 地 址 或 者 每 个 子 网 访问 外 部 网 络 所 占用 的 带宽 。 


【实验 步骤 】 


1. 配置 防火 墙 接 口 的 IP 地 址 
进入 防火 墙 的 配置 页 面 , 即 “ 网 络 配 置 兮 接口 IP” 页 面 , 单 击 “ 添 加 ”按钮 ,为 接口 添加 
IP 地 址 。 为 防火 墙 的 LAN 接口 配置 IP 地 址 及 子 网 掩 码 ,如 图 2-107 所 示 。 
为 防火 墙 的 WAN 接口 配置 IP 地 址 及 子 网 掩 码 , 如 图 2-108 所 示 。 
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添加 、 篇 辑 接口 IP 


192.168.1.1 


255. 255. 255. 0 


rc 


rc 
面 
国 


L111 


255. 255. 255. 0 


图 2-108 配置 防火 墙 WAN 接口 的 了 P 地 址 


2 配置 NAT 规 则 

进入 防火 墙 配 置 页 面 , 即 “安全 策略 福安 全 规则 ?页 面 , 单 击 页 面 上 方 的 "NAT 规则 ” 
按钮 ,添加 NAT 规则 。 在 NAT 规则 中 我 们 对 内 部 访问 外 部 的 HTTP 流量 进行 NAT 转 
换 , 如 图 2-109 所 示 。 


了 AT 规则 维护 


( 1-15 位 字母 、 数 字 、 减 号 、 下 烛 线 的 姐 合 ) 


目的 地 址 


2-109 ”配置 防火 墙 的 NAT 规则 
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3 验证 测试 
在 内 部 用 户 PC 上 访问 外 部 的 Web 服务 器 1. 1. 1. 100, 可 以 成 功 访问 ,如 图 2-110、 
图 2-111 所 示 。 


Om © Na Pw rm GO oR 


ener eon 


图 2-110 验证 测试 (1) 


ZXTTZ 


Eu RD) 
Bm.O HED ms CE 
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a | kW MN TD | 、 PE EI EEE 
大 小 | 四则 到 

2727 6364 

rotglnqls 


BD Prooran rles 
已 nln 
BD Svaten Veine fomation 


到 | 
六 上传 | ?i 旭 录 上 好 :8 文件 13 大 小 2 各 8 


2-111 ”验证 测试 (2) 


使 用 客户 端 下 载 Web 服务 器 上 的 文件 ,观察 下 载 速率 ,大 约 为 2. 5MB/s, 如 图 2-112 
所 示 。 
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图 2-112 观察 下 载 速率 


4 配置 带宽 列表 

进入 防火 墙 配 置 页 面 , 即 “ 对 象 定义 泡 带 宽 列表 "页面 , 单 击 页 面 上 的 “添加 ”按钮 , 创 
建 带宽 列表 。 在 带宽 列表 中 配置 保证 带宽 为 256Kbps, 最 大 带宽 为 512Kbps, 如 图 2-113 
所 示 。 


添加 、 编 辑 带 宽 列表 


http_limit ( 1-15 位 字母 、 数 字 、 减 号 、 下 划 线 的 组 合 ) 
FE irimossikik ) 

256 Kbps 〔 50-102400 之 间 的 整数 ) 

S12 Kbps ( 50-102400 之 间 的 整数 ) 


图 2-113 配置 防火 墙 的 带宽 列表 


5 应 用 带宽 列表 

进入 防火 墙 配置 页 面 , 即 “安全 策略 福安 全 规则 ?页 面 ,对 之 前 创建 的 NAT 规则 进行 
编辑 。 在 NAT 规则 * 流 量 控制 "下 拉 列 表 中 选择 刚才 创建 的 带宽 列表 http_limit, 如 
图 2-114 所 示 。 


6 验证 测试 
在 内 部 用 户 PC 上 从 Web 服务 器 下 载 文件 ,观察 下 载 速率 ,最 后 下 载 速 率 稳 定 在 大 
约 65KB/s, 约 520Kbps, 与 之 前 设置 的 最 大 带宽 512Kbps 相近 ,如 图 2-115 所 示 。 
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规则 名 : natl ( 1-15 位 字母 、 数 字 、 减 号 下划线 的 组 合 ) 

手工 簿 入 - any - 
源 地 址 : IP 地 址 | 192.168.1.0 目的 地 址 ™ 

捷 码 | 255.255.255.0 掩 到 
* 源 地 址 转换 为 : 但 三 酸 ] - 服务 : http -| 
检查 流入 网 口 lan -| 检查 流出 网 口 wan 图 
时 间 调 度 : 无 -| 流量 控制 [http_linit -| 
用 户 认证 : 口 日 志 记录 口 
VRL 过 源 : 无 -> 隐 道 名 局 
4 序号 1 
连接 限制 : 厂 保护 主机 三 保护 服务 三 限制 主机 三 限制 服务 


图 2-114 应 用 防火 墙 带宽 列表 


大 小 | 时 间 


名 a 


ba 
GH0STXP,GHO 来 目 .1.100 


从 计划 和 时 问 。 2 小生 41 作料 (得 制 SC ME ， 检 C21ME) 
a 


国 sherealsanup-0.93 0.sxe 


ET 
加 mss 
国 nult 


图 2-115 ”验证 测试 


【注意 事项 】 


， 带宽 限制 具有 一 定 的 偏 移 量 ,无 法 做 到 完全 精确 的 速率 限制 。 
。 在 本 实验 中 由 于 使 用 卫 地 址 对 Web 服务 器 进行 访问 ,如 果实 际 中 使 用 域名 访问 
Web 服务 器 ,还 需要 对 DNS 解析 流量 配置 NAT 转换 规则 。 
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2.10 使 用 防火 墙 限制 P2P 流量 


【实验 名 称 】 
使 用 防火 墙 限制 P2P 流量 。 
【实验 目的 】 


利用 防火 墙 控制 P2P 流量 ,保护 带宽 资源 ( 注 : RG-WALL 60 防火 墙 不 支持 P2P 
限制 )。 


某 企业 使 用 1M 的 广域网 链 路 实现 与 Internet 的 互联 。 但 是 企业 的 网 络 管理 员 发 
现 ,最 近 公司 内 部 访问 Internet 的 速度 很 慢 , 有 时 需要 很 长 时 间 才 能 打开 一 个 网 页 。 网 络 
管理 员 经 过 对 问题 的 分 析 和 定位 ,发 现 此 问题 是 由 于 一 些 员工 使 用 BT 等 P2P 软件 进行 
大 量 的 资源 下 载 而 导致 的 。 公 司 要 求 能 够 尽快 解决 该 问题 ,防止 过 多 的 P2P 流量 占用 宝 
贵 的 带宽 资源 ,影响 公司 的 正常 业务 。 


【需求 分 析 】 


P2P 软件 不 仅 可 以 抢占 带宽 ,而 且 还 可 以 以 最 大 带宽 进行 数据 传输 。 用 防火 墙 的 
P2P 限制 功能 可 以 对 P2P 流量 进行 检测 和 控制 ,限制 P2P 流量 所 占用 的 带宽 。 


【实验 拓扑 】 


如 图 2-116 所 示 的 网 络 拓扑 ,是 企业 网 络 为 了 限制 用 户 使 用 BT 等 P2P 软件 进行 大 
量 的 资源 下 载 文件 所 占用 的 带宽 ,为 保证 带宽 资源 


被 合理 地 利用 ,使 用 防火 墙 提供 的 P2P 流量 限制 功 人 
能 对 P2P 流量 进行 检测 和 控制 ,限制 P2P 流量 所 
占用 的 带宽 ,以 实现 企业 网 络 安全 访问 需求 规划 。 FE2 
、 172.18.1.1/24 外 
【实验 设备 】 人 
防火 墙 连接 到 Internet 的 链 路 
防火 墙 1 台 
PC( 安 装 BT 客户 端 软件 ) 1 台 BT 客户 证 
172.18.1.11/24 
【预备 知识 】 2-116 防火墙 的 P2P 流量 限制 网 络 
。 网 络 基础 知识 。 人 
。 防 火 墙 工作 原理 。 
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【实验 原理 】 

P2P 技术 具备 客户 端 和 服务 器 双重 特性 ,可 以 同时 作为 服务 使 用 者 和 服务 提供 者 。 
由 于 P2P 技术 的 飞速 发 展 ,现在 Internet 上 70% 的 流量 都 是 P2P 的 流量 。 由 于 P2P 技 
术 在 下 载 的 同时 ,也 需要 上 传 流量 ,导致 用 户 的 下 行 流量 和 上 行 流量 都 很 大 ,从 而 P2P 流 


量 造成 了 网 络 的 极度 拥塞 。 
RG-WALL 防火 墙 对 P2P 软件 采用 深度 检测 的 方法 ,可 以 精确 地 识别 P2P 流量 ,以 


达到 对 P2P 流量 进行 控制 的 目的 。 
【实验 步骤 】 


1. 配置 防火 墙 接 口 的 地 址 
如 图 2-117 所 示 ,配置 FE1 接口 的 地 址 。 


| 添加、 篇 辑 接 口 TP 


100.1.1.1 


255. 255. 255. 252 


允许 管理 主机 PITNG: 
允许 管理 主机 Traceroute'; 


图 2-117 配置 防火 墙 FE1 接口 的 地 址 


配置 FE2 接口 的 地 址 ,如 图 2-118 所 示 。 


172.18.1.1 


255. 255. 255. 0 


2-118 配置 防火 墙 FE2 接口 的 地 址 


2 配置 MT 转换 规则 
配置 NAT 规则 ,使 内 部 用 户 可 以 访问 Internet, 如 图 2-119 所 示 。 
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号 : 1 
1 」( 1-64 位 字母 、 汉 字 ( 蚂 个 汉字 为 2 位 )、 数 字 、 减 号 、 
us 下 车 8 的 姐 合 ) 
类 型 : NAT -| 
[9 可 日 
源 地 址 : 王 地 址 | 172.18.1.0 目的 地 址 : 地址 
掩 码 255.255.255.0 掩 码 
+ 服务: ay 日 
基地 址 转换 为 5 | 100. 1. 1.1 
vr 日 ”B 才 2 肝 、 口 
添加 下 一 条 确定 取消 
图 2-119 配置 防火 墙 的 NAT 转换 规则 
3 验证 测试 


验证 客户 端 可 以 访问 Internet ,并 且 可 以 用 BT 下 载 Internet 上 的 资源 ,记录 下 载 带 
宽 , 例 如 ,400Kb/s。 


4 配置 带宽 列表 
进入 防火 墙 配置 页 面 , 即 “对 象 定义 们 带宽 列表 ”页 面 ,可 以 看 到 系统 已 经 预定 义 了 一 
个 名 为 p2p_band 的 带宽 列表 ,如 图 2-120 所 示 。 


图 2-120 配置 防火 墙 带宽 列表 (1) 


单 击 后 面 的 编辑 图 标 , 可 以 看 到 预先 定义 的 保证 带宽 为 60Kb/s, 最 大 带宽 为 
160Kb/s。 在 本 实验 中 我 们 设置 保证 带宽 为 60Kb/s, 最 大 带宽 为 80Kb/s, 如 图 2-121 
所 示 。 


添加 、 编 辑 带 寅 列表 


pap_band (1-64 位 字母 、 汉 字 ( 螺 个 汉字 为 ?位 )、 数 字 、 减 
号 、 下 烛 经 的 姐 合 ) 


FH ceaseni 

60 Kbps 《 50-102400 之 间 的 整数 ) 
80 Kbps 《 50-102400 之 间 的 整数 ) 
建议 公用 于 P27 带 宽 限 制 


2-121 配置 防火 墙 带宽 列表 (2) 
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5 配置 PP 限制 

进入 防火 墙 配置 页 面 , 即 “ 安 全 策略 守 P2P 限制 "页面, 在 bt 协议 的 下 拉 列 表 中 选择 
“允许 使 用 且 进 行 流量 控制 ”选项 ,并 在 “流量 控制 "下 拉 列 表 中 选择 之 前 定义 的 带宽 列表 
p2p_band, 如 图 2-122 所 示 。 


图 2-122 配置 防火 墙 的 P2P 带宽 限制 


6 配置 规则 应 用 PP 限制 
在 之 前 配置 的 NAT 规则 中 ,在 高 级 选项 的 “深度 行为 检测 ”区域 中 勾 选 "P2P 限制 ” 
复 选 框 ,以 启用 该 规则 的 P2P 检测 和 控制 ,如 图 2-123 所 示 。 


号 1 
规则 各 : nl (1-64 位 字母 、 汉字 ( 紧 个 汉字 为 2 位 )、 数 字 、 减 号、 
下 X 的 姐 合 ) 
a NAT 
手工 输入 [| any - 
源 地 址 ; TP 二 | 172.18.1.0 | 目的 地 址 Tf 地 址 | 
掩 _ 码 255.255.255.0 | 掩 码 
* 服务 ; 和 
所 地 址 转换 为 1001.1.1 目 
WY? 世道 日 老 记 录 : 口 
时 间 调 度 3 上 -流量 ! 
any -| ”检查 流 -| 
入 同 口 : 出 同 口 : 
用 户 认证 : 口 TCR 长 连接 : 口 


连接 限制 厂 保护 主机 厂 保护 服务 厂 限制 主机 厂 ， 限 制服 务 
入 人 防护 品 tt 过 泥 。 [无 国 
2 了 制 : 所 


确定 取消 


2-123 ”应 用 防火 墙 的 P2P 限制 
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7 验证 测试 
在 客户 端 上 使 用 BT 进行 文件 下 载 ,可 以 看 到 下 载 速率 在 60Kb/s 一 80Kby/s 之 间 。 
【注意 事项 】 


。 P2P 和 带宽 限制 具有 一 定 的 偏 移 量 ,无 法 做 到 完全 精确 的 速率 限制 。 
。 在 本 实验 中 没有 给 出 防火 墙 路 由 的 配置 ,需要 根据 实际 网 络 情况 在 防火 墙 上 配置 
浏览 Internet 的 路 由 (通常 是 默认 路 由 ) 。 


211 ”使 用 防火 墙 防止 DoS 攻击 


【实验 名 称 】 

使 用 防火 墙 防止 DoS 攻击 。 

【实验 目的 】 

利用 防火 墙 的 抗 攻击 功能 防止 SYN Flood 攻击 。 

【背景 描述 】 

某 公司 使 用 防火 墙 作为 网 络 出 口 设备 连接 到 Internet, 并 且 公司 内 部 有 一 台 对 外 提 


供 服务 的 FTP 服务 器 。 最 近 网 络 管理 员 发 现在 Internet 中 有 人 向 FTP 服务 器 发 起 SYN 
Flood 攻击 ,造成 FTP 上 存在 大 量 的 半 开 放 连 接 ,消耗 了 服务 器 的 系统 资源 。 


【需求 分 析 】 WAN Li 
1.1.1.1/24 1.1.1.2/24 
要 防止 来 自 外 部 网 络 的 DoS 攻击 ,可 
以 使 用 防火 墙 的 抗 攻击 功能 。 
【实验 拓扑 】 en 


如 图 2-124 所 示 的 网 络 拓扑 ,企业 网 
络 为 了 限制 有 人 向 FTP 服务 器 发 起 SYN 
Flood 攻击 ,造成 FTP 上 存在 大 量 的 半 开 ht 
放 连 接 ,消耗 了 服务 器 的 系统 资源 ,希望 利加 2:.124 上 防火 墙 的 抗 攻击 功能 网 络 规划 拓扑 图 
用 防火 墙 的 抗 攻击 功能 防止 SYN Flood 


攻击 ,从 而 防止 来 自 外 部 网 络 的 DoS 攻击 ,以 实现 企业 网 络 安全 访问 需求 规划 。 


【实验 设备 】 
防火 墙 “1 台 
PC 2 台 ( 一 台 作为 FTP 服务 器 ; 另 一 台 模 拟 外 部 网 络 的 攻击 主机 ) 
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FTP 服务 器 软件 程序 “SYN Flood 攻击 软件 程序 
【预备 知识 】 


。 网 络 基础 知识 。 
。 防火 墙 工 作 原理 。 
。 DoS 攻击 原理 。 


【实验 原理 】 


SYN Flood 是 一 种 常见 的 DoS 攻击 ,这 种 攻击 通过 使 用 伪造 的 源 IP 地 址 ,向 目标 主 
机 (被 攻击 端 ) 发 送 大 量 的 TCP SYN 报 文 。 目 标 主机 接收 到 SYN 报 文 后 ,会 向 伪造 的 源 
地 址 回应 TCP SYN_ACK 报 文 以 等 待 发 送 端的 ACK 报 文 来 建立 连接 。 但 是 由 于 发 送 
端的 地 址 是 伪造 的 ,所 以 被 攻击 端 永远 不 会 收 到 合法 的 ACK 报 文 , 这 将 造成 被 攻击 端 建 
立 大 量 的 半 开 放 连 接 , 消 耗 大 量 的 系统 资源 ,导致 不 能 提供 正常 的 服务 。 

防火 墙 的 抗 攻 击 功 能 可 以 对 SYN Flood 攻击 进行 检测 ,阻止 大 量 的 TCP SYN 报 文 
到 达 被 攻击 端 ,保护 内 部 主机 的 资源 。 


【实验 步骤 】 


1 配置 防火 墙 接口 的 IP 地址 

进入 防火 墙 的 配置 页 面 , 即 * 网 络 配置 六 接口 IP” 页 面 , 单 击 “ 添 加 ”按钮 ,为 接口 添加 
IP 地 址 。 

为 防火 墙 的 LAN 接口 配置 IP 地 址 及 子 网 掩 码 , 如 图 2-125 所 示 。 


ENT 


区 是 


192.168.1.1 


255. 255. 255.0 


2-125 配置 防火 墙 LAN 接口 的 全 地 址 


为 防火 墙 的 WAN 接口 配置 IP 地 址 及 子 网 掩 码 , 如 图 2-126 所 示 。 


2 配置 端口 映射 规则 
为 了 使 Internet 中 的 用 户 可 以 访问 到 内 部 的 FTP 服务 器 ,需要 在 防火 墙 上 使 用 端口 
映射 规则 ,将 FTP 服务 器 发 布 到 Internet 中 。 
进入 防火 墙 配 置 页 面 , 即 “安全 策略 福安 全 规则 ?页 面 , 单 击 页 面 上 方 的 “端口 映射 规 
则 ?按钮 ,添加 端口 映射 规则 。 规 则 中 的 “公开 地 址 ?为 防火 墙 外 部 接口 (WAN) 的 地 址 ; 
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卫 加 、 篇 加 接口 IP 


L111 


255. 255. 255. 0 


图 2-126 配置 防火 墙 WAN 接口 的 IP 地 址 


“内 部 地 址 ”为 内 部 FTP 服务 器 的 地 址 ;“ 内 部 服务 ”为 FTP 服务 器 提供 FTP 服务 使 用 的 
端口 号 ,这 里 使 用 默认 的 21 端口 (FTP);“ 对 外 服务 ”为 Internet 用 户 访问 FTP 服务 器 时 
使 用 的 在 外 部 看 到 的 端口 号 ,这 里 也 使 用 默认 的 21 端口 (FTP) ,如 图 2-127 所 示 。 


亳 口 映射 规则 维护 


( 1-15 位 字母 、 数 字 、 减 号 、 下 划 占 的 姐 合 ) 


* 公开 地 址 1.1.1.1 


192. 168.1.10 


四 序号 1 
厂 保护 主机 厂 保护 服务 厂 限制 主机 厂 限制 服务 


2-127 配置 防火 墙 的 端口 映射 规则 


3 验证 测试 

在 内 部 PC 上 安装 好 FTP Server 程序 ,并 进行 相应 的 配置 。 在 外 部 PC 上 测试 访问 
FTP 服务 器 的 连通 性 ,注意 这 里 使 用 的 FTP 目标 地 址 为 1. 1. 1. 1。 防 火 墙 将 其 发 送 到 
1.1.1.1, 端 口 为 21 的 请 求 重 定向 到 内 部 的 FTP 服务 器 。 

外 部 PC 可 以 通过 预先 设置 的 用 户 名 和 密码 登录 FTP 服务 器 ,如 图 2-128 所 示 。 


4 实施 SYN Rood 攻 击 
在 外 部 PC 上 使 用 SYN Flood 连接 工具 向 FTP 服务 器 发 起 攻击 。 此 时 在 FTP 服务 
器 上 通过 Windows 命令 netstat -an 可 以 看 到 外 部 主机 与 FTP 服务 器 的 21 端口 建立 了 
大 量 的 半 开 放 连 接 , 状 态 为 SYN_RECEIVED, 如 图 2-129 所 示 。 
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?ftp 1.1.1-1 


图 2-128 验证 测试 


IVED 
RECEIVED 
RECEIVED 

CEIVED 
RECEIVED 
RECEIVED 

CEIVED 
RECEIVED 
RECEIVED 

CEIVED 

CEIVED 

CEIVED 
RECEIVED 

CEIVED 
RECEIVED 

CEIVED 

RECEIVED 

RECEIVED 

RECEIVED 

RECEIVED 

RECEIVED 

RECEIVED 

RECEIVED 

RECEIVED 

RECEIVED 


图 2-129 外 部 PC 实施 SYN Flood 攻击 


5 配置 抗 攻击 


进入 防火 墙 配置 页 面 , 即 “安全 策略 写 抗 攻击 ”页 面 , 单 击 WAN 接口 后 面 的 操作 图 
标 ,如 图 2-130 所 示 。 


安全 第 咯 )) 搞 攻击 
接口 名 称 启用 STM mood ICIP 7lood Ping of Death UDP Flood PING SYEEP TC 端口 扫描 WP 端口 扫描 Vislioke 操作 
nr x x x x x x x x X Ef 
lan x x x x x x x x x 可 
wan x x x x x x x x x 回 
wanl x x x x x x x x x 加 
图 2-130 配置 防火 墙 的 抗 攻 击 功 能 
启用 抗 攻击 功能 ,并 开启 抗 SYN Flood 攻击 选项 ,设置 SYN 包 速 率 阔 值 为 10pps( 小 
于 实际 攻击 端的 发 包 速率 ) ,如 图 2-131 所 示 。 
6 验证 测试 


在 外 部 PC 上 使 用 SYN Flood 连接 工具 再 次 向 FTP 服务 器 发 起 攻击 。 此 时 在 FTP 
服务 器 上 通过 Windows 命令 netstat -an 可 以 看 到 外 部 主机 与 FTP 服务 器 的 21 端口 只 
建立 了 少量 的 半 开 放 连 接 ( 大 约 10 个 ) ,其 他 所 有 的 SYN Flood 攻击 报 文 已 经 被 防火 墙 
i 2-132 所 示 。 
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局 用 抗 攻击 忆 

抗 SYN Fleod 政 击 i 
本 抗 TC 无 标记 攻击 
三 搞 To ool 抗 双料 攻 击 


ICIP 包 和 速率 闪 值 : | 1000 | 个 包 / 秒 ( 1-65535 ) 
抗 Fing of Death 攻击 


5 ICMF 包 长 贺信 : | 800 | 字 节 ( 1-65535 ) 的 5 四 & TI 位 设 当家 册 
抗 WP Flood 攻击 | 

三 umz 包 速率 现 俺 : | 1000 ] 个 包 / 黎 ( 1-65535 ) MO ri 和 
抗 PIWG SYEE? 攻 击 安 - 

三 入 [io | 训 W10 人 不 retry ( 1-8555 ) 到 
抗 TCF 端口 扫描 a 

日 每 | 10 | 毫秒 同一 I? 的 10 个 不 同 端口 的 TCP 包 ( 1-65535 ) 中 次 加 ER 
抗 WP 靖 吕 扫 入 

号 其 [io_] 剖 丰 同 -的 1o 人 不 同 请 的 mP 包 〔1-65535 ) 到 

厂 “ 抗 检 委 党 由 攻击 厂 “ 抗 王 时 间 归 攻 击 

厂 ” 抗 严格 源 中 由 攻 击 三 抗 Lad 攻击 

三 抗 fialke 攻击 三 ， 搞 towrdeop 束 击 

厂 抗 smerf 攻击 


左下 到 殿 35 王 砷 天 三 
图 2-131 启用 防火 墙 的 抗 攻击 功能 


168.1.18:1980 


Settings Adninistrator 


图 2-132 验证 防火 墙 抗 攻 击 测试 


【注意 事项 】 


。 设置 的 防火 墙 SYN Flood 检 沈 
速率 。 
。 防火 墙 是 根据 SYN 报 文 速率 对 SYN Flood 攻击 进行 检测 的 ,所 以 防火 墙 在 接收 
报 文 时 会 有 采样 的 时 间 ,这 段 时间 内 部 分 攻击 报 文 可 能 会 通过 防火 墙 ,在 目的 端 
造成 少量 的 半 连 接 。 
检测 阔 值 不 要 设置 得 过 小 ,否则 可 能 导致 正常 的 连接 请 求 无 法 建立 。 


阅 值 (SYN 包 速 率 ) 要 小 于 实际 攻击 端的 发 包 
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入侵 检测 设备 基础 知识 


随 着 网 络 安全 风险 系数 不 断 提高 ,曾经 作为 最 主要 的 安全 防范 手段 的 防火 墙 ,已 经 不 
能 满足 人 们 对 网 络 安全 的 需求 。 仅 仅 使 用 防火 墙 来 保护 网 络 的 安全 还 远 远 不 够 ,原因 
在 于 : 

。 网 络 的 人 侵 者 可 寻找 防火 墙 的 漏洞 ; 

。 网络 的 入 侵 者 可 能 就 在 防火 墙 内 ; 

。 由 于 性 能 的 限制 ,防火 墙 通常 不 能 提供 实时 的 入 侵 检测 能 力 。 

作为 对 防火 墙 的 有 益 补充 ,入 侵 检 测 系统 IDS 能 够 帮助 网 络 系统 快速 发 现 网 络 攻击 
的 发 生 , 从 而 扩展 系统 管理 员 的 安全 管理 能 力 (包括 安全 审计 ,监视 .进攻 识别 和 响应 ) , 提 
高 了 信息 安全 基础 结构 的 完整 性 。IDS 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闸门 , 它 能 在 
不 影响 网 络 性 能 的 情况 下 ,对 网 络 进行 监听 ,从 而 提供 对 来 自 内 部 攻击 、 外 部 攻击 和 误 操 
作 的 实时 保护 。 

IDS 这 一 概念 最 先 由 James P， Anderson 在 1980 年 4 月 为 美国 空军 做 的 一 份 题 为 
《计算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 中 提出 。 此 后 ,经 历 20 余年 的 发 展 ,IDS 终于 
发 展 成 熟 ,发 展 成 为 基于 网 络 的 IDS 和 基于 主机 的 IDS 两 大 阵营 ,并 且 随 着 入 侵 事 件 的 
愈演愈烈 而 逐渐 成 为 安全 市 场 主 角 。 有 人 将 IDS 产品 比 作 为 继 杀 毒 和 防火 墙 产 品 之 后 
安全 领域 的 第 三 战场 。 前 两 个 战场 已 处 于 醒 战 之 中 ,IDS 领域 将 成 为 今后 一 段 时 期 安全 
厂商 角力 的 主 战 场 。 


3.1 ”什么 是 入 侵 检 测 系统 


IDS 是 英文 “Intrusion Detection Systems” 的 缩写 ,中文 意 思 是 “入 侵 检 测 系统 ”。 专 
业 上 讲 就 是 依照 一 定 的 安全 策略 ,对 网 络 .系统 的 运行 状况 进行 监视 , 尽 可 能 发 现 各 种 攻 
击 企 图 攻击 行为 或 者 攻击 结果 ,以 保证 网 络 系 统 资源 的 机 密 性 ,完整 性 和 可 用 性 。 做 一 
个 形象 的 比喻 : 假如 防火 墙 是 一 由 大 楼 的 门 锁 , 那 么 IDS 就 是 这 贱 大 楼 里 的 监视 系统 。 
一 旦 小 偷 聆 窗 进入 大 楼 或 内 部 人 员 有 越界 行为 ,只 有 实时 监视 系统 才能 发 现 情况 并 发 出 
警告 ,IDS 设备 如 图 3-1 所 示 。 

通过 在 网 络 中 安装 防火 墙 ,可 以 阻挡 一 般 性 的 网 络 攻击 行为 ,采用 IDS 入 侵 防 护 系 
统 , 则 可 以 对 越过 防火 墙 的 攻击 行为 ,以 及 来 自 网 络 内 部 的 违规 操作 进行 监测 和 响应 , 相 
当 于 为 网 络 提供 第 二 套 保护 机 制 。 入 侵 检 测 系统 多 安置 在 防火 墙 之 后 ,对 网 络 活动 进行 
实时 检测 。 在 很 多 情况 下 ,由 于 可 以 记录 和 禁止 网 络 活动 ,所 以 人 侵 检 测 系统 是 防火 墙 
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Te 


图 3-1 入 侵 检 测 系统 硬件 设备 


的 延续 。 它 们 可 以 和 防火 墙 以 及 路 由 器 配合 工作 。 如 IDS 可 以 通过 配置 来 禁止 从 防火 
墙 外 部 进入 的 恶意 流量 ,独立 于 防火 墙 而 开展 工作 的 。 

入 侵 检测 系统 IDS 与 系统 扫描 器 system scanner 不 同 。 系 统 扫描 器 是 根据 攻击 特征 
数据 库 来 扫描 系统 漏洞 的 , 它 更 关注 配置 上 的 漏洞 而 不 是 当前 进出 主机 的 流量 。 在 遭受 
攻击 的 主机 上 ,即使 正在 运行 扫描 程序 ,也 无 法 识别 这 种 攻击 。IDS 扫描 当前 网 络 的 活 
动 .监视 和 记录 网 络 的 流量 ,根据 定义 好 的 规则 来 过 滤 从 主机 网 卡 到 网 线 上 的 流量 ,提供 
实时 报警 。 网 络 扫描 器 只 检测 主机 上 先前 设置 的 漏洞 ,而 IDS 监视 和 记录 网 络 流量 。 如 
果 在 同一 台 主 机 上 运行 IDS 和 扫描 器 ,配置 合理 的 IDS 会 发 出 许多 报警 。 

不 同 于 防火 墙 ,IDS 入 侵 检 测 系 统 是 一 个 监听 设备 ,没有 跨 接 在 任何 链 路 上 ,无 须 网 
络 流量 流 经 它 便 可 以 工作 。 因 此 ,对 IDS 的 部 署 ,唯一 的 要 求 是 : IDS 应 当 挂 接 在 所 有 所 
关注 流量 都 必须 流 经 的 链 路 上 。 在 这 里 ,“ 所 关注 流量 ” 指 的 是 来 自 高 危 网 络 区 域 的 访问 
流量 和 需要 进行 统计 、 监 视 的 网 络 报 文 。 在 如 今 的 网 络 拓扑 中 ,已 经 很 难 找到 以 前 的 
Hub 式 的 共享 介质 冲突 域 的 网 络 , 绝 大 部 分 的 网 络 区 域 都 已 经 全 面 升级 到 交换 式 的 网 络 
结构 。 因 此 ,IDS 在 交换 式 网 络 中 的 位 置 一 般 选择 为 : (1) 尽 可 能 靠近 攻击 源 ; (2) 尽 可 能 
靠近 受 保护 资源 。 

这 些 位 置 通常 是 : 在 服务 器 区 域 交 换 机 上 ,或 者 在 Internet 接 人 路 由 器 之 后 第 一 台 
交换 机 上 ,或 者 在 重点 保护 网 段 局 域 网 交换 机 上 ,经 典 的 入侵 检测 系统 部 署 方式 如 图 3-2 


所 示 。 
Fi 网 


3-2 IDS 的 部 署 网 络 拓扑 图 
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3.2 ”入 侵 检 测 系 统 功 能 


大 多 数 的 入 侵 检测 系统 IDS 可 以 提供 关于 网 络 流量 非常 详尽 的 分 析 , 它 们 可 以 监视 
任何 定义 好 的 流量 ,如 对 FTP、.HTTP 和 Telnet 流量 都 有 默认 的 设置 ,对 其 他 的 流量 如 
NetBus、 本 地 和 远程 登录 等 ,可 以 自己 定制 策略 。 

常见 的 入 侵 检测 系统 检测 功能 如 下 : 


1 网 络 流量 管理 

大 多 数 的 入侵 检测 系统 IDS 允许 记录 、 报 告 和 禁止 几乎 所 有 形式 的 网 络 访问 。 还 可 
以 用 它 监视 某 一 台 主 机 上 通过 的 所 有 网 络 流量 。 如 定义 了 策略 和 规则 ,在 设备 上 获得 
FTP、SMTP、Telnet 和 任何 其 他 的 流量 ,这 种 策略 和 规则 有 助 于 追查 该 连接 和 确定 网 络 
上 发 生 过 什么 ,或 现在 正在 发 生 什 么 。 这 在 需要 确定 网 络 中 策略 实施 的 一 致 性 时 是 非常 
有 效 的 工具 。 

虽然 人 侵 检测 系统 IDS 是 网 络 中 安全 管理 人 员 或 审计 人 员 非 常 有 价值 的 工具 ,但 公 
司 内 网 中 的 用 户 同 样 可 以 安装 像 eTrust Intrusion Detection 或 Intrude Alert 这 样 的 程序 
来 访问 重要 的 信息 。 攻 击 者 不 仅 可 以 读 取 未 加 密 的 邮件 ,还 可 以 嗅 探 密 码 和 收集 重要 的 
协议 方面 的 信息 。 所 以 实施 整 网 安全 工作 还 要 检查 在 网 络 中 是 否 有 类 似 的 程序 在 运行 。 

2 系统 扫描 

入 侵 检测 系统 IDS 设备 可 以 在 网 络 中 对 不 同 的 应 用 实施 控制 ,从 操作 系统 到 扫描 
器 IDS 程序 和 防火 墙 。 许 多 安全 专家 将 这 些 应 用 和 IDS 结合 起 来 。 

3 追踪 

入侵 检测 系统 IDS 设备 所 能 做 的 不 仅仅 是 记录 安全 事件 , 它 还 可 以 确定 安全 事件 发 
生 的 位 置 。 通 过 追踪 来 源 , 可 以 更 多 地 了 解 攻击 者 。IDS 检测 设备 记录 下 的 日 志 不 仅 可 
以 记录 攻击 过 程 ,同时 也 有 助 于 确定 解决 方案 。 


33 ”入侵 检测 系统 工作 原理 


早期 的 IDS 设备 仅仅 是 一 个 监听 系统 ,IDS 可 以 将 位 于 与 IDS 连接 在 同一 网 络 中 的 
交换 机 /Hub 和 服务 器 的 访问 .操作 全 部 记录 下 来 以 供 分析 使 用 。 跟 常用 的 Windows 操 
作 系 统 的 事件 查看 器 类 似 ,本 质 上 入 侵 检测 系统 IDS 是 一 个 典型 的 “窥探 设备 ”, 它 不 跨 
接 多 个 物理 网 段 (通常 只 有 一 个 监听 端口 ) ,无 须 转发 任何 流量 ,只 在 网 络 上 被 动 地 、 无 声 
息 地 收集 它 所 关心 的 报 文 ,如 图 3-3 所 示 。 

IDS 就 像 交 通 灯 ,摄像 头 一 样 , 对 攻击 者 常规 的 入 侵 行 为 做 很 好 的 监测 ,对 网 络 安全 
有 一 定 的 保护 作用 。 入 侵 检 测 系统 具有 的 作用 主要 表现 在 以 下 几 方面 : 

。 通过 检测 和 记录 网 络 中 的 安全 违规 行为 ,防止 网 络 人 侵 事 件 的 发 生 ; 

。 检测 其 他 安全 措施 未 能 阻止 的 攻击 或 安全 违规 行为 ; 
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攻击 主机 
TP:172.16.5.127 


IDS 入 侵 检测 系统 控制 台 TDS 和 侵 检 测 系统 
[P:172.16.5.128 IP:172.16.5.100 


g 被 攻击 主机 
JP ; 172.16.5.125 


图 3-3 IDS 监听 系统 模型 


。 检测 黑客 在 攻击 前 的 探测 行为 ,预先 给 管理 员 发 出 警报 ; 

。 报告 计算 机 系统 或 网 络 中 存在 的 安全 威胁 ; 

。 提供 攻击 的 信息 ,帮助 管理 员 诊断 网 络 中 存在 的 安全 弱点 ,利于 修补 ; 

。 在 大 型 .复杂 网 络 中 布置 入 侵 检测 系统 ,提高 网 络 安全 管理 质量 。 

IDS 的 运行 方式 有 两 种 : 一 种 是 在 目标 主机 上 和 运行 以 监测 其 本 身 的 通信 信息 ; 另 一 
种 是 在 一 台 单独 的 机 器 上 运行 以 监测 所 有 网 络 设备 的 通信 信息 ,例如 Hub、 路 由 器 。 当 
有 某 个 事件 与 一 个 已 知 攻击 的 信号 相 匹配 时 ,多 数 IDS 都 会 警报 。 一 个 基于 异常 的 IDS 
会 构造 一 个 当时 活动 的 主机 或 网 络 的 大 致 轮廓 , 当 有 一 个 在 这 个 轮廓 以 外 的 事件 发 生 时 ， 
IDS 就 会 告警 。 在 IDS 运行 过 程 中 ,和 以 下 几 个 关键 字 有 关 。 

。 攻击 (attacks) 

攻击 可 以 定义 为 试图 渗透 系统 或 者 绕 过 系统 安全 策略 而 获取 信息 、 更 改 信息 、 中 断 目 
标 网 络 或 者 系统 的 正常 运行 的 活动 。 

。 警报 (alerts) 

警报 是 IDS 向 系统 操作 员 发 出 的 有 入 侵 正 在 发 生 或 者 正在 尝试 的 消息 。 一 旦 侦 测 
到 入 侵 ,IDS 会 以 各 种 方式 向 分 析 员 发 出 警报 。 如 果 控 制 台 在 本 地 ,IDS 警报 通常 会 显示 
在 监视 器 上 。IDS 还 可 以 通过 声音 报警 (但 在 繁忙 的 IDS 上 建议 关闭 声音 )。 通 过 厂商 的 
通信 手段 可 以 将 警报 发 送 到 远程 控制 台 , 除 此 之 外 ,还 可 以 利用 SNMP 协议 (安全 性 有 待 
考虑 ) ,E-mail、.SMS/Pager 或 者 这 几 种 方式 的 组 合 进行 报警。 

。 异常 (anomaly) 

大 多 IDS 在 检测 到 与 已 知 攻击 特征 匹配 的 事件 时 就 会 发 出 警报 ,而 基于 异常 的 IDS 
会 用 一 段 时 间 建 立 一 个 主机 或 者 网 络 活动 的 轮廓 。 在 这 个 轮廓 之 外 的 事件 也 会 发 出 IDS 
警报 ,也 就 是 说 , 当 有 人 进行 以 前 从 没有 过 的 活动 ,IDS 就 会 发 出 警报 。 例 如 一 个 用 户 突 
然 获得 管理 员 权限 (或 者 root 权限 )。 一 些 厂商 把 这 种 方法 称 为 启发 式 IDS, 但 是 真正 的 
启发 式 IDS 比 这 种 方法 有 更 高 的 智能 性 。 

IDS 处 理 网 络 上 数据 信息 的 过 程 分 为 数据 采集 阶段 数据 处 理 及 过 滤 阶 段 、 入 侵 分 析 
及 检测 阶段 .报告 以 及 响应 阶段 4 个 阶段 。 
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数据 采集 阶段 是 数据 审核 阶段 ,在 人 侵 检测 系统 收集 目标 系统 中 ,引擎 提供 主机 通信 
数据 包 和 系统 使 用 等 数据 信息 。 入 侵 检 测 的 第 一 步 是 数据 信息 收集 ,收集 数据 内 容 包括 
系统 、 网 络 ,数据 及 用 户 活 动 的 状态 和 行为 。 由 放置 在 不 同 网 段 的 传感器 或 不 同 主机 的 代 
理 来 收集 信息 ,包括 系统 和 网 络 日 志文 件 、 网 络 流量 、 非 正常 的 目录 和 文件 改变 、 非 正常 的 
程序 执行 。 

而 数据 处 理 及 过 滤 阶 段 则 是 对 采集 到 的 数据 进行 分 析 和 处 理 , 收 集 到 的 有 关系 统 、 网 
络 数据 及 用 户 活 动 的 状态 和 行为 等 信息 , 送 到 检测 引擎 ,检测 引擎 驻 留 在 传感器 中 ,一 般 
通过 3 种 技术 手段 进行 分 析 : 模式 匹配 、 统 计 分 析 和 完整 性 分 析 。 当 检测 到 某 种 误 用 模 
式 时 ,产生 一 个 警告 并 发 送 给 控制 台 。 

最 后 是 报告 以 及 响应 阶段 ,通过 控制 台 按照 警告 产生 预先 定义 的 响应 而 采取 相应 措 
施 , 可 以 重新 配置 路 由 器 或 防火 墙 ` 终 止 进程 .切断 连接 、 改 变 文件 属性 ,也 可 以 只 是 简单 
的 警告 。 

通过 分 析 上 一 阶段 提供 的 数据 、 分 析 及 检测 入 侵 阶段 来 判断 是 否 发 生 入 侵 , 这 一 阶段 
是 整个 人 侵 检 测 系统 的 核心 执行 阶段 。 最 后 到 了 报告 及 响应 阶段 ,针对 上 一 个 阶段 进行 
的 判断 做 出 响应 。 如 果 通 过 数据 来 分 析 , 判 断 网 络 中 可 能 发 生 了 入 侵 行为 ,系统 将 根据 网 
络 管理 员 事 先 配 置 的 安全 措施 ,对 其 采取 相应 的 响应 手段 。 此 外 也 可 以 通过 提示 信息 , 通 
知 网 络 管理 人 员 网 络 发 生 了 入 侵 , 以 便于 采取 措施 。 


3.4 入 侵 检 测 系 统 类 型 


入 侵 检测 系统 是 从 计算 机 网 络 系统 中 的 若干 关键 点 来 收集 信息 ,并 分 析 这 些 信 息 , 检 
查 网 络 中 是 否 有 违反 安全 策略 的 行为 或 遭 到 袭击 的 迹象 。 入 侵 检 测 被 认为 是 防火 墙 之 后 
的 第 二 道 安全 闻 门 。 入 侵 检 测 通过 对 入 侵 行为 的 过 程 与 特征 进行 研究 ,使 安全 系统 对 入 
侵 事 件 和 入 侵 过 程 做 出 实时 响应 。 一 般 来 讲 , 入 侵 检 测 系 统 按 其 输入 数据 的 来 源 来 看 ,可 
以 分 为 3 类 : 


1 基于 主机 的 入 侵 检 测 系 统 (HDS) 

基于 主机 的 入侵 检测 系统 输入 数据 来 源 于 系统 的 审计 日 志 , 一 般 只 能 检测 该 主机 上 
发 生 的 入 侵 。 基 于 主机 的 入 侵 检测 产品 通常 是 安装 在 被 重点 检测 的 主机 之 上 ,主要 是 对 
该 主机 的 网 络 实时 连接 以 及 系统 审计 日 志 进 行 智能 分 析 和 判断 。 如 果 主 体 活动 十 分 可 疑 
(特征 或 违反 统计 规律 ), 入 侵 检测 系统 就 会 采取 相应 的 措施 。 

基于 主机 的 IDS 对 多 种 来 源 的 系统 和 事件 日 志 进 行 监控 ,将 会 发 现 可 疑 活动 。 基 于 
主机 的 IDS 也 叫做 主机 IDS, 最 适合 于 检测 那些 可 以 信赖 的 内 部 人 员 的 误 用 以 及 已 经 避 
开 了 传统 的 检测 方法 而 渗透 到 网 络 中 的 活动 。 除 了 完成 类 似 事 件 日 志 阅 读 器 的 功能 , 主 
机 IDS 还 对 “事件 /日 志 / 时 间 ” 进 行 签名 分 析 。 在 很 多 产品 中 还 包含 了 启发 式 功能 。 
为 主机 IDS 几乎 是 实时 工作 的 ,系统 的 错误 可 以 很 快 地 检测 出 来 ,技术 人 员 和 安全 人 士 
都 非常 喜欢 它 。 现 在 ,基于 主机 的 IDS 指 基于 服务 器 /工作 站 主机 的 所 有 类 型 的 人 侵 检 
测 系统 。 
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基于 主机 的 入 侵 检 测 系统 的 优点 如 下 : 

。 主 机 入 侵 检测 系统 对 分 析 “ 可 能 的 攻击 行为 ”非常 有 用 。 

。 主机 入 侵 检 测 系统 在 通常 情况 下 比 网 络 人 侵 检测 系统 误 报 率 要 低 。 

。 主机 入 侵 检测 系统 可 以 部 署 在 那些 不 需要 广泛 的 入侵 检测 、 传 感 器 与 控制 台 
之 间 。 

基于 主机 的 入 侵 检测 系统 的 弱点 如 下 : 

。 主机 入侵 检测 系统 安装 在 需要 保护 的 设备 上 。 

。 主机 入 侵 检 测 系统 的 另 一 个 问题 是 它 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 。 

* 全 面部 署 主机 入 侵 检测 系统 代价 较 大 ,在 企业 中 很 难 将 所 有 主机 用 主机 和 人 侵 检 测 
系统 保护 ,只 能 选择 部 分 主机 保护 。 那 些 未 安装 主机 入 侵 检 测 系统 的 机 器 将 成 为 
保护 的 盲点 ,入 侵 者 可 利用 这 些 机 器 达到 攻击 目标 。 

。 主机 入侵 检测 系统 除了 监测 自身 的 主机 以 外 ,根本 不 监测 网 络 上 的 情况 。 


2 基于 网 络 的 入 侵 检测 系统 (NDS) 
基于 网 络 的 入侵 检测 系统 放置 在 比较 重要 的 网 段 内 ,不 停 地 监视 网 段 中 的 各 种 数据 
包 , 输 入 数据 来 源 于 网 络 的 信息 流 , 能 够 检测 该 网 段 上 发 生 的 网 络 入 侵 。 基 于 网 络 的 入 侵 
检测 产品 (NIDS) 放 置 在 比较 重要 的 网 段 内 ,不 停 地 监视 网 段 中 的 各 种 数据 包 。 

网 络 人 侵 检测 系统 的 优点 如 下 : 

。 网 络 人 侵 检测 系统 能 够 检测 来 自 网 络 的 攻击 ,能够 检测 到 未 授权 的 非法 访问 。 

。 网 络 人 侵 检测 系统 不 需要 改变 服务 器 等 主机 配置 ,不 需要 在 系统 主机 中 安装 额外 
软件 ,从 而 不 影响 这 些 主机 的 CPU .I/O 盘 等 资源 使 用 ,也 不 会 影响 系统 的 性 能 。 

。 由 于 网 络 人 侵 检 测 系统 不 像 路 由 器 ,防火 墙 等 关键 设备 那样 工作 , 它 不 会 成 为 系 
统 中 关键 路 径 。 网 络 人 侵 检 测 系统 发 生 故障 不 会 影响 正常 业务 运行 。 部 署 一 个 
网 络 人 侵 检测 系统 风险 比 主机 入 侵 检 测 系统 风险 少 得 多 。 

*。 网 络 人 侵 检测 系统 近年 有 向 专业 设备 发 展 的 趋势 ,安装 这 样 的 人 侵 检测 系统 非常 
方便 ,只 需 将 定制 设备 接 上 电源 ,做 一 些 配置 ,再 将 其 连 到 网 络 上 即 可 。 

网 络 人 侵 检测 系统 的 弱点 如 下 : 

。 网 络 人 侵 检 测 系统 只 检查 它 直 接连 接 网 段 的 通信 ,不 能 检测 在 不 同 网 段 的 网 
络 包 。 

。 网 络 人 侵 检测 系统 为 了 性 能 目标 通常 采用 特征 检测 的 方法 ,检测 出 普通 的 一 些 攻 
击 , 而 很 难 实现 一 些 复杂 、 需 要 大 量 计算 与 分 析 时 间 的 攻击 检测 。 

。 网络 入 侵 检 测 系 统 可 能 会 将 大 量 的 数据 传 回 分 析 系 统 中 。 

。 网 络 入 侵 检测 系统 处 理 加 密 的 会 话 过 程 比较 困难 ,目前 通过 加 密 通 道 的 攻击 还 不 
多 ,但 随 着 IPv6 的 普及 ,这 个 问题 会 越 来 越 突出 。 


3 分 布 式 入 侵 检测 系统 
采用 上 述 两 种 数据 来 源 的 分 布 式 入侵 检测 系统 ,能 够 同时 分 析 来 自主 机 系统 审计 日 
志和 网 络 数据 流 的 入 侵 检测 系统 ,一 般 为 分 布 式 结构 ,由 多 个 部 件 组 成 。 
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3.5 ”入 侵 检 测 系 统 设备 介绍 


IDS 产品 有 软件 和 硬件 两 种 ,下 面 介绍 的 是 IDS 的 硬件 产品 。 

现在 的 IDS 做 成 了 硬件 放 到 机 架 上 ,而 不 是 安装 在 现 有 的 操作 系统 中 ,这 样 很 容易 
就 可 以 把 IDS 租 和 网络。 一 个 入 侵 检测 产品 通常 由 两 部 分 组 成 : 传感器 (Sensor) 和 控制 
台 (Console)。 传 感 器 负责 采集 数据 (如 网 络 包 、 系 统 日 志 等 )、 分 析 数 据 并 生成 安全 事件 。 
控制 台 主要 起 到 中 央 管 理 的 作用 ,商品 化 的 产品 通常 提供 图 形 界面 的 控制 台 , 这 些 控 制 台 
基本 上 都 支持 Windows NT 平台 。 

IDS 设备 的 控制 端口 通常 为 Console 端口 ,IDS 的 初始 配置 也 是 通过 控制 端口 
(Console) 与 PC( 通 常 是 便于 移动 的 笔记 本 电脑 ) 的 串口 (RS-232) 连 接 , 再 通过 Windows 
系统 自 带 的 超级 终端 (HyperTerminal) 程 序 进行 选项 配置 ,如 图 3-4 所 示 。 


图 3-4 IDS 设备 配置 端口 


3.6 ”入 侵 检 测 系统 设备 性 能 指标 


对 于 IDS, 用 户 会 关注 每 秒 能 处 理 的 网 络 数据 流量 、 每 秒 能 监控 的 网 络 连接 数 等 指 
标 。 但 除了 基本 的 硬件 性 质 指标 外 ,其 实 还 有 一 些 不 为 一 般 用 户 了 解 的 指标 也 很 重要 , 例 
如 每 秒 抓 包 数 、 每 秒 能 够 处 理 的 事件 数 等 。 


1. 每 秒 数据 流量 (Mops 或 Gops) 

每 秒 数据 流量 是 指 网 络 上 每 秒 通过 某 节点 的 数据 量 。 这 个 指标 是 反映 网 络 人 侵 检 测 
系统 性 能 的 重要 指标 ,一 般 由 Mbps 来 衡量 。 例 如 10Mbps、100Mbps 和 1Gbps。 

网 络 人 侵 检测 系统 的 基本 工作 原理 是 嗅 探 (Sniffer) , 它 通 过 将 网 卡 设置 为 混杂 模式 ， 
使 得 网 卡 可 以 接收 网 络 接口 上 的 所 有 数据 。 如 果 每 秒 数据 流量 超过 网 络 传感器 的 处 理 能 
力 ,基于 网 络 的 入侵 检测 系统 NIDS 就 可 能 会 丢 包 ,从 而 不 能 正常 检测 攻击 。 但 是 NIDS 
是 否 会 丢 包 ,不 仅 取决 于 每 秒 数据 流量 ,还 取决 于 每 秒 抓 包 数 。 


2 每 秒 抓 包 数 (pps) 
每 秒 抓 包 数 是 反映 网 络 人 侵 检测 系统 性 能 的 最 重要 的 指标 。 因 为 系统 不 停 地 从 网 络 
上 抓 包 , 对 数据 包 作 分 析 和 处 理 , 查 找 其 中 的 入 侵 和 误 用 模式 。 所 以 ,每 秒 所 能 处 理 的 数 
据 包 的 多 少 ,反映 了 系统 的 性 能 。 业 界 不 熟悉 入 侵 检测 系统 的 人 往往 把 每 秒 网 络 流量 作 
为 判断 网 络 人 侵 检测 系统 的 决定 性 指标 ,这 种 想法 是 错误 的 。 
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每 秒 网 络 流量 等 于 每 秒 抓 包 数 乘 以 网 络 数据 包 的 平均 大 小 。 网 络 数据 包 的 平均 大 小 
差异 很 大 ,因此 在 相同 抓 包 率 的 情况 下 ,每 秒 网 络 流量 的 差异 也 会 很 大 。 例 如 ,网 络 数据 
包 的 平均 大 小 为 1024 字 节 左右 ,系统 的 性 能 能 够 支持 10 000pps 的 每 秒 抓 包 数 ,那么 系 
统 每 秒 能 够 处 理 的 数据 流量 可 达到 78Mbps, 当 数据 流量 超过 78Mbps 时 ,会 因为 系统 处 
理 不 过 来 而 出 现 丢 包 现象 ;如 果 网 络 数据 包 的 平均 大 小 为 512 字 节 左右 ,在 10 000pps 的 
每 秒 抓 包 数 的 性 能 情况 下 ,系统 每 秒 能 够 处 理 的 数据 流量 可 达到 40Mbps, 当 数据 流量 超 
过 40Mbps 时 ,就 会 因为 系统 处 理 不 过 来 而 出 现 丢 包 现象 。 

在 相同 的 流量 情况 下 ,数据 包 越 小 ,处 理 的 难度 越 大 。 小 包 处 理 能 力 ,也 是 反映 防火 
墙 性 能 的 主要 指标 。 


3 每 秒 能 监控 的 网 络 连接 数 

网 络 和 人 侵 检 测 系统 不 仅 要 对 单个 的 数据 包 进 行 检测 ,还 要 将 相同 网 络 连接 的 数据 包 
组 合 起 来 进行 分 析 。 网 络 连 接 的 跟踪 能 力 和 数据 包 的 重组 能 力 是 网 络 人 侵 检测 系统 进行 
协议 分 析 、 应 用 层 入 侵 分 析 的 基础 。 这 种 分 析 延 伸 出 很 多 网 络 入 侵 检 测 系统 的 功能 , 例 
如 ,检测 利用 HTTP 协议 的 攻击 敏感 内 容 检 测 .邮件 检测 .Telnet 会 话 的 记录 与 回放 、 硬 
盘 共享 的 监控 等 。 


4 每 秒 能 够 处 理 的 事件 数 

网 络 人 侵 检测 系统 检测 到 网 络 攻击 和 可 疑 事件 后 ,会 生成 安全 事件 或 称 报警 事件 ,并 
将 事件 记录 在 事件 日 志 中 。 每 秒 能 够 处 理 的 事件 数 ,反映 了 检测 分 析 引 擎 的 处 理 能 力 和 
事件 日 志 记录 的 后 端 处 理 能 力 。 有 的 厂商 将 反映 这 两 种 处 理 能 力 的 指标 分 开 , 称 为 事件 
处 理 引 擎 的 性 能 参数 和 报警 事件 记录 的 性 能 参数 。 

大 多 数 网 络 人 侵 检测 系统 报警 事件 记录 的 性 能 参数 小 于 事件 处 理 引 擎 的 性 能 参数 ， 
主要 是 Client/Server 结构 的 网 络 入侵 检测 系统 ,引入 了 网 络 通信 的 性 能 瓶颈 。 这 种 情况 
将 导致 事件 的 丢失 ,或 者 控制 台 响应 缓慢 。 


37 入 侵 检 测 产 品 选 择 要 点 


防火 墙 看 起 来 好 像 可 以 满足 系统 管理 员 的 一 切 需 求 。 然 而 , 随 着 攻击 行为 和 产品 自 
身 问题 的 增多 ,IDS 由 于 能 够 在 防火 墙 内 部 监测 非法 的 活动 变 得 越 来 越 重 要 。 新 的 技术 
同样 给 防火 墙 带 来 了 严重 的 威胁 。 

当 组 建安 全 网 络 需要 选择 入 侵 检测 系统 时 ,要 考虑 的 要 点 如 下 : 


1 系统 的 价格 
当然 ,价格 是 必须 考虑 的 要 点 ,不 过 ,性 能 价格 比 , 以 及 要 保护 系统 的 价值 是 更 重要 的 
因素 。 


2 特征 库 升 级 与 维护 的 费用 
像 反 病毒 软件 一 样 ,和 人 侵 检测 的 特征 库 需 要 不 断 更 新 才能 检测 出 新 出 现 的 攻击 方法 。 
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3 网 络 入 侵 检测 系统 的 最 大 可 处 理 流量 

要 分 析 网 络 入 侵 检测 系统 所 部 署 的 网 络 环境 ,如 果 在 512K 或 2M 专线 上 部 署 网 络 
入侵 检测 系统 , 则 不 需要 高 速 的 入 侵 检测 引擎 ,而 在 负荷 较 高 的 环境 中 ,性 能 是 一 个 非常 
重要 的 指标 。 

4 该 产品 容易 被 躲避 

有 一 些 常用 的 躲 开 和 人 侵 检 测 的 方法 ,如 分 片 .TTL 欺骗 .异常 TCP 分 段 , 慢 扫描 、 协 

5 产品 的 可 伸缩 性 

系统 支持 的 传感器 数目 .最 大 数据 库 大 小 、 传 感 器 与 控制 台 之 间 通 信 带 宽 和 对 审计 日 
志 溢出 的 处 理 。 

6 运行 与 维护 系统 的 开销 

产品 报表 结构 .处 理 误 报 的 方便 程度 ,事件 与 日 志 查询 的 方便 程度 以 及 使 用 该 系统 所 
需 的 技术 人 员 的 数量 。 

7 产品 支持 的 入 侵 特征 数 

不 同 厂商 对 检测 特征 库 大 小 的 计算 方法 不 一 样 。 

8 产品 有 哪些 响应 方法 

要 从 本 地 ,远程 等 多 个 角度 考察 。 自 动 更 改 防火 墙 配置 是 一 个 很 “ 酷 ”的 功能 ,但 是 自 
动 配置 防火 墙 是 一 个 极为 危险 的 举动 。 

9 是 否 通过 了 国家 权威 机 构 的 评测 

主要 的 权威 测评 机 构 有 : 国家 信息 安全 测评 认证 中 心 .公安 部 计算 机 信息 系统 安全 
产品 质量 监督 检验 中 心 。 
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第 4 意 
”人 侵 检测 系统 实践 技术 


4 1 RG-IDS 账户 管理 


【实验 名 称 】 

RG-IDS 账户 管理 。 

【实验 目的 】 

掌握 配置 RG-IDS 管理 账户 的 方法 。 

【背景 描述 】 

某 企业 部 署 了 一 台 RG-IDS 进行 攻击 检测 ,现在 需要 对 RG-IDS 进行 管理 。 
【需求 分 析 】 

通过 添加 管理 员 账 户 , 可 以 对 RG-IDS 进行 本 理 操作 。 

【实验 拓扑 】 


如 图 4-1 所 示 的 网 络 拓扑 ,是 企业 为 了 提高 网 络 的 安全 ,部 署 一 台 RG-IDS 进行 攻击 
检测 ,希望 能 够 对 RG-IDS 进行 管理 ,通过 添加 管  RG-IDSs 控 制 台 、 时 间 收 集 器 、 日 志 服务 器 
理 员 账户 ,可 以 对 RG-IDS 进行 配置 管理 操作 ,来 A 
实现 网 络 的 安全 防范 功能 。 


| 
【实验 设备 】 | 
PC 1 台 Management 


RG-IDS Sensor 1 台 性 

直 连 线 1 条 ND 

【预备 知识 】 图 4-1 RG-IDS 攻击 检测 网 络 规划 拓扑 图 
。 RG-IDS 基本 配置 。 

【实验 原理 】 

用 户 管理 承担 着 系统 认证 中 心 的 角色 。 用 户 登录 时 认证 中 心 对 用 户 名 、 密 码 进行 认 
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证 ,如 果 有 绑 定 设置 则 根据 其 绑 定 方式 (静态 绑 定 动态 绑 定 ) 对 用 户 作 绑 定 处 理 。 此 外 ， 
在 认证 登录 用 户 时 ,如 果 某 个 用 户 从 相同 的 IP( 隐 含 的 动态 绑 定 ) 重 复 多 次 登录 尝试 , 则 
将 该 用 户 视 为 可 疑 用户 , 认 证 中 心 会 将 该 用 户 锁定 ,同时 发 送审 计 事件 通知 用 户 管理 员 
(触发 锁定 的 登录 尝试 次 数 用 户 管理 员 可 以 在 创建 时 指定 )。 

用 户 管 理 还 可 以 添加 、 删 除 用 户 和 修改 用 户 信息 ,并 且 可 以 为 不 同 的 用 户 分 配 权限 。 
不 同 角色 的 用 户 具 有 不 同 的 权限 ,每 一 位 用 户 都 不 能 越权 操作 。 


【实验 步骤 】 


1 用 户 管理 员 登 录 
使 用 默认 的 Admin 账号 登录 系统 (默认 安装 时 用 户 Admin 的 密码 为 Admin, 建 议 用 
户 管理 员 第 一 次 登录 后 修改 该 密码 ) ,如 图 4-2 所 示 。 


RG -IDS 


图 4-2 管理 员 用 户 账号 登录 


登录 成 功 后 ,用 户 管理 界面 如 图 4-3 所 示 。 


习 | 总 
5 


< 省 是 同 : 2016.06.10 07.55409> 后 Aomn 在 0 闸 之 出 闪 作 ， Ess 
图 4-3 管理 员 用 户 账号 登录 成 功 后 的 界面 
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2 用 户 查看 
查看 用 户 列表 中 各 用 户 的 状态 ,如 图 4-4 所 示 。 
各 个 图 标 表示 的 用 户 状 态 如 表 4-1 所 示 。 


表 4-1 用 户 状态 信息 


图 标 状 态 描述 

& 在 线 状态 在 线 状态 的 图 标 为 绿色 

六 离线 状态 离线 状态 的 图 标 为 暗 红色 

@ 锁定 状态 用 户 被 管理 员 锁 定 图 标 为 暗 红色 并 且 标 有 禁止 标记 


双击 某 个 用 户 查 看 其 详细 信息 ,如 图 4-5 所 示 。 


用 户 尾 性 配置 区 | 


六 其 好 用 户 信息 


用 户 列表 


入 andit adainistrator 六 之 本 |， 下 | 国 EEE 汪 
及 huditor 和 | 所 有 审计 事件 查看 
入 nser adainistrator 


用 P 当 前 状 才 : [FE 


六 1 
User Adninistrator 


图 4-4 查看 用 户 列表 图 4-5 查看 用 户 的 详细 信息 


系统 管理 员 登 录 管 理 平台 的 默认 用 户 是 Admin 和 Audit。Admin 用 户 的 默认 密码 
是 Admin,Audit 用 户 的 默认 密码 为 Audit。 系 统 默认 安装 用 户 为 Admin 和 Audit ,分 别 
为 用 户 管理 和 审计 管理 权限 。Admin 不 能 修改 Audit 的 密码 。 其 他 用 户 的 密码 由 管理 
员 分 配 。 


3 新 建 一 个 用 户 

单 击 克 二 ii 用 EG 关 按钮 ,在 “用 户 属性 配置 ”对 话 框 中 添加 该 用 户 的 基本 信息 以 及 给 该 
用 户 分 配 权限 ,如 图 4-6 所 示 。 

权限 配置 中 各 字段 的 含义 如 表 4-2 所 示 。 

报表 使 用 权限 中 各 字段 的 含义 如 表 4-3 所 示 。 

单 击 “ 确 定 ” 按 钮 ,该 用 户 已 添加 成 功 ,如 图 4-7 所 示 。 

4 验证 该 用 户 
用 新 建 的 用 户 登录 系统 ,如 图 4-8 所 示 。 


92 


ma 第 4 章 入 侵 检测 系统 实践 技术 mm 


用 户 屋 性 配置 | 
用 户 名 : est 
账 Se | 三 宇 计 管理 
安全 事件 浏览 
| 
Ei | Cs 


「 登 录 I 
人 动态 闭 定 。 个 帮 志 绑 定 谍 姐 件 管理 


其 地 用 户 信息 一 一 一 


由 


个 人 审计 事件 查看 
疡 有 二 :事件 查看 


PAM: [ 


图 4-6 新 建 一 个 用 户 


表 4-2 权限 配置 各 字段 含义 
字段 描述 


勾 选 此 复 选 框 ,用 户 具有 创建 、 删 除 用 户 和 组 ,编辑 用 户 基本 信息 ,拥有 锁定 用 户 和 人 解 


用 户 管理 | 除 用 户 锁定 以 及 注销 用 户 的 权限 


审计 管理 勾 选 此 复 选 框 ,用 户 具有 通过 用 户 操作 审计 表 查 看 其 他 用 户 的 操作 审计 结果 的 权限 


勾 选 此 复 选 框 ,用 户 有 权限 查看 或 使 用 事件 分 析 器 对 IDS 告警 事件 进行 在 线 浏 览 和 


安全 事件 浏览 分 析 


系统 日 志 浏览 | 匀 选 此 复 选 框 ,用 户 有 权 查看 系统 日 志 ,监视 各 个 组 件 的 状态 


勾 选 此 复 选 框 ,用 户 有 权 查 看 策略 集 的 配置 方式 和 帮助 信息 ,但 是 没有 权限 修改 \ 派 


守卫 村 生 \ 删 除 任何 策略 或 策略 集 


策略 管理 勾 选 此 复 选 框 ,用 户 有 权 编 辑 和 修改 策略 (应 用 策略 属于 组 件 管理 ) 


勾 选 此 复 选 框 ,用 户 有 权 查看 组 件 的 配置 .属性 和 状态 ,但 是 没有 权限 增加 、 删 除 或 修 


组 件 查 看 。 | 改 任何 组 件 及 其 属性 


组 件 管理 勾 选 此 复 选 框 ,用 户 有 权 添加 、 修 改 、 删 除 以 及 操作 组 件 的 类 型 数量 和 范围 


勾 选 此 复 选 框 ,用 户 具有 对 数据 库 的 访问 和 控制 权限 ,例如 浏览 ,备份 .删除 和 使 用 


数据 库 管理 Report 组 件 
表 4-3 报表 使 用 权限 各 字段 含义 
字 有 段 描 述 
安全 事件 查看 勾 选 此 复 选 框 ,用 户 有 权 在 报表 中 查看 某 种 条 件 下 安全 事件 的 汇总 
系统 日 志 查 看 勾 选 此 复 选 框 ,用 户 有 权 在 报表 中 查看 某 种 条 件 下 系统 日 志 的 汇总 
个 人 审计 事件 查看 ne 
所 有 审计 事件 查看 和 
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RG - IDS 
说 捷 入 侵 术 测 系 统 


用 户 列 表 
全 audit adainistrator 
及 huditor 
ARjuser adninistrator 
&l1 
F 


对 User Administrator 
图 4-7 添加 用 户 成 功 


登录 成 功 后 的 界面 如 图 4-9 所 示 。 


le 7 日 NEY) IRD) Wb) Wk 
| _ 岂 -| 六 | Rc MI He) | 曙 

Se | 了 查 和 | 贡生 | 有 P | 有志 关于 
对 闷 加 用 P 址 () 如 册 辽 用 记得 (R) 霹 本 0 用 PIA) 高 出 上 用 PID】 等 修改 月 F 人 N) 个 是 二 月 FU 利信 用 忆 册 图 总 用 己 天 机 此 ) 

| 月 P3 汪 甬 户 基本 展 性 | 4 


| IT 8 定夺 
| 二 记 当 从 者; 
| 本 和 了 
E223 开本 | 事 # 关 型 | 事 了 站 果 。。 | 三 区 [RP [Rs 
中 


人 本 同 络 ] < 用 户 登录 叶 司 : 2009.06 .10 08:32:07> 用 户 ta 在 0 种 之 内 没有 芋 何 失 作 - 


4-9 登录 成 功 后 的 界面 


5 验证 管理 权限 

用 户 可 以 查看 本 系统 的 策略 ,如 图 4-10 所 示 。 

切换 用 户 , 改 用 Admin 登录 ,并 在 “用 户 列表 ”区 域 双 击 该 用 户 , 如 图 4-11 所 示 。 

在 “权限 配置 ”选项 组 中 把 该 用 户 的 “策略 查看 ”“ 策 略 管理 ” 复 选 框 取消 勾 选 ,如 
图 4-12 所 示 。 

再 次 验证 该 用 户 的 权限 。 切 换 到 test 用 户 ,该 用 户 已 无 法 查看 本 系统 的 策略 ,如 
图 4-13 所 示 。 
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图 4-11 使 用 Admin 登录 并 查看 用 户 


mu QD mm 


em 网络 安全 防御 技术 实践 教程 m5 


用 户 尾 性 配置 


ll; 
| 
y 
到 
到 
by 
a 
y 


可 可 可 可 


图 4-12 取消 用 户 权限 


[一 


图 4-13 验证 该 用 户 的 权限 


_ RG-IDS 组 件 管理 


【实验 名 称 】 
RG-IDS 组 件 管理 。 


【实验 目的 】 

掌握 RG-IDS 组 件 的 添加 方式 。 

【背景 描述 】 

某 用 户 根据 实际 网 络 环境 进行 IDS 的 配置 管理 。 


【需求 分 析 】 


某 企业 需要 部 署 一 台 RG-IDS 进行 攻击 检测 ,在 将 RG-IDS 部 署 到 网 络 中 前 ,需要 对 
RG-IDS 进行 初始 化 配置 ,并 安装 相关 组 件 。 


m= O90 w= 
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【实验 拓扑 】 


如 图 4-14 所 示 的 网 络 拓扑 ,是 企业 为 了 提高 网 络 的 安全 ,部 署 一 台 RG-IDS 进行 攻 
击 检测 ,在 部 署 RG-IDS 之 前 ,希望 能 够 对 RG- RG-IDS 控 制 台 、 时 间 收 集 器 、 日 志 服 务 器 


IDS 进行 初始 化 配置 的 网 络 拓 扑 规划 图 ,以 实现 a 
网 络 的 安全 防范 功能 。 在 
【实验 设备 】 | 
PC 1 台 Management | 
RG-IDS Sensor ”1 台 一 
直 连 线 1 条 
图 4-14 RG-IDS 初始 化 配置 网 络 规划 拓扑 图 
【预备 知识 
RG-IDS 基本 配置 步骤 。 
【实验 原理 】 
通过 RG-IDS 控制 台 ,添加 多 个 组 件 ,实现 对 RG-IDS 的 管理 .接收 告警 事件 等 。 
【实验 步骤 】 
1 初始 化 LogServer 


在 安装 LogServer 的 过 程 中 需要 进行 数据 库 初 始 化 配置 , 如 图 4-15 所 示 。 


参数 据 服 务 初始 化 配置 


图 4-15 LogServer 数据 库 初始 化 配置 


可 以 在 此 时 对 LogServer 进行 配置 ,也 可 单 击 “ 跳 过 ”按钮 ,日 后 需要 使 用 该 模块 时 依 
次 选择 “开始 ”>“ 程 序 ”>“ 锐 捷 入 侵 检 测 系 统 ”>“ 锐 捷 入 侵 检 测 系统 (网 络 )”>“RG-IDS 
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数据 服务 安装 ?选项 进行 初始 配置 ( 注 : 本 步 又 的 前 提 是 已 安装 Microsoft SQL Server 或 
MSDE 并 有 数据 库 管理 员 权 限 ) 。 


2 根据 实际 情况 配置 LogServer 
数据 服务 初始 化 配置 如 图 4-16 所 示 。 
到 
| 数据 库 访问 控制 # 狼 -Exa | 
服务器 地 二 0031 a 
开动 太 决 定 第 品 Se 
端口 号 : | We 
数据 库 名 称 : 。 1DS_Loeserver 支持 使 用 Oracle Bi 及 其 以 后 版 本 
wags: Fr FC ys 


图 4-16 配置 LogServer 初始 化 


完成 参数 设置 后 请 单 击 “ 测 试 " 按 钮 ,车 一 切 无 误会 弹出 以 下 提示 框 ， 如 图 4-17 
所 示 。 

单 击 “ 确 定 ” 按 钮 返回 到 “数据 服务 初始 化 配置 ”对话 框 ,再 次 单 击 “ 确 定 ” 按 钮 , 稍 等 片 
刻 会 出 现 “ 数 据 库 初 创建 成 功 1” 的 提示 框 ,如 图 4-18 所 示 。 

3 添加 LogServer 

登录 系统 ,在 EC 处 单 击 感 添 j 件 辐 按钮 ,在 弹出 的 “添加 组 件 ? 对 话 框 的 下 拉 菜 单 中 
选择 LogServer 选项 , 如 图 4-19 所 示 。 


图 4-17 数据 库 初 始 化 连接 测试 ”图 4-18 数据 库 初 创建 成 功 图 4-19 添加 组 件 


在 “LogServer 属性 配置 ”对话 框 中 填 上 需要 添加 的 LogServer 的 相应 信息 ,然后 单 
击 “ 确 定 ”按钮 ， 如 图 4-20 所 示 。 
返回 到 “组 件 管理 ”窗口 ,双击 LogServer, 如 图 4-21 所 示 。 
打开 “LogServer 配置 属性 ”对 话 框 , 单 击 “ 容 量 检 测 ” 按 钮 如 图 4-22 所 示 。 
添加 成 功 , 如 图 4-23 所 示 。 
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图 4-20 添加 的 LogServer 组 件 的 相应 信息 


日 器 Ec 


图 4-23 配置 LogServer 容量 检测 属性 (2) 


4 添加 传感器 

在 EC 处 单 击 古 测 通 所 辣 按钮 ,在 弹出 的 “添加 组 件 ? 对 话 框 的 下 拉 菜 单 中 选择 * 传 感 
器 ”选项 ,如 图 4-24 所 示 。 | 

在 “传感器 属性 配置 ”对话 框 中 填 上 需要 添加 的 传 
感 器 的 相应 信息 。 然 后 单 击 “ 连 接 测试 ”按钮 ， 如 
图 4-25 所 示 。 


4-24 添加 传感器 


Eee QQ mm 
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在 弹出 的 连接 测试 成 功 提示 框 中 单 击 “ 确 定 ” 按 钮 , 如 图 4-26 所 示 。 


图 4-25 配置 传感器 属性 (1) 图 4-26 连接 测试 信息 


返回 到 “传感器 属性 配置 "对 话 框 中 并 单 击 * 确 定 ” 按 钮 ， 如 图 4-27 所 示 。 
添加 成 功 , 如 图 4-28 所 示 。 


传感器 尾 性 配置 


图 4-27 配置 传感器 属性 (2) 图 4-28 配置 传感器 属性 信息 
【注意 事项 】 
。 如 果 添 加 组 件 提示 超时 ,有 可 能 是 由 个 人 防火 墙 的 配置 造成 的 ,请 正确 配置 防 
火 墙 。 


。 当 进 行 多 个 IDS 的 分 布 式 部 署 时 ,可 以 使 用 相同 的 方法 添加 多 个 传感器 组 件 ,如 
图 4-29 所 示 。 
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图 4-29 在 IDS 分布 式 部 署 中 添加 多 个 传感器 组 件 
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【实验 名 称 】 

RG-IDS 策略 管理 。 

【实验 目的 】 

通过 策略 管理 控制 引擎 监测 的 内 容 。 
【背景 描述 】 


某 企业 部 署 一 台 RG-IDS 进行 攻击 检测 ,管理 员 和 希望 根据 不 同 网 络 环境 定制 相应 的 
策略 。 


【需求 分 析 】 RG-IDS 控制 台 、 时 间 收 集 器 、 日 志 服 务 器 
需求 : 解决 根据 不 同 的 网 络 环境 定制 相应 策略 重 : 

的 问题 。 
分 析 : 用 户 根据 网 络 实际 运行 情况 自 定义 

策略 。 Management | 


【实验 拓扑 】 


如 图 4-30 所 示 的 网 络 拓扑 ,是 企业 为 了 提高 网 图 4-30 RG-IDS 策 略 管理 网 络 拓 扑 图 
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络 的 安全 ,部 署 一 台 RG-IDS 进行 攻击 检测 ,在 部 署 RG-IDS 之 前 ,管理 员 和 希望 根据 不 同 
网 络 环境 定制 相应 策略 的 网 络 拓扑 规划 图 ,以 实现 网 络 的 安全 防范 功能 。 


【实验 设备 】 
PC 3 台 
RG-IDS 1 台 
直 连 线 4 条 
交换 机 2 台 ( 其 中 一 台 必须 支持 多 对 一 的 端口 镜像 配置 ) 


【预备 知识 】 
RG-IDS 基本 配置 。 


【实验 原理 】 


传感器 使 用 策略 来 控制 其 所 监测 的 内 容 , 并 对 监测 到 的 事件 做 出 响应 。 用 户 可 以 使 
用 系统 管理 平台 所 附带 的 预定 义 策略 ,也 可 以 从 预定 义 策略 派生 新 的 策略 。 预 定义 策略 
分 别 侧重 于 用 户 所 关心 的 各 种 层面 ,用 户 可 以 选择 适合 自己 的 预定 义 策略 直接 应 用 。 考 
虑 到 用 户 的 不 同 需 求 , 系 统管 理 平台 提供 了 用 户 自 定 义 策略 的 功能 。 用 户 可 以 从 预定 义 
策略 派生 新 的 策略 并 且 对 新 策略 进行 编辑 ,用 户 还 可 对 其 关心 的 部 分 攻击 签名 进行 微调 ， 
以 便 更 符合 用 户 的 需要 。 

在 策略 管理 中 ,用 户 需 要 配置 安全 事件 的 响应 方式 。 这 些 响 应 方式 包括 Console 显 
示 、Write DB、SNMP Trap、E-mail、OPSEC 以 及 用 户 自 定义 响应 。 其 中 除 Console 显示 
和 Write DB 不 需要 配置 外 ,其 他 响应 方式 均 需要 做 相应 的 配置 工作 。 


【实验 步骤 】 


1 策略 编辑 界面 浏览 

如 图 4-31 所 示 , 单 击 主 界面 上 的 “策略 ”按钮 ,切换 到 策略 编辑 器 界面 ,策略 编辑 器 的 
窗口 分 为 4 个 区 域 。 通 过 “策略 编辑 器 ”窗口 ,可 以 新 建 . 派 生 , 修 改 、 删 除 . 查 看 .导入 和 导 
出 策略 。 

在 告警 策略 模板 区 域 中 列 出 了 当前 可 用 的 策略 ,其 中 包括 系统 的 预定 义 策略 和 用 
户 自 定义 策略 。 预 定义 策略 不 能 更 改 , 用 户 可 以 根据 自身 的 网 络 情况 选择 某 个 预定 义 
策略 而 派生 出 自 定义 策略 并 且 进 行 调整 。 癌 图 标 代表 预定 义 策略 ,不 能 进行 编辑 ,只 能 
单独 应 用 到 传感器 ,可 以 派生 出 自 定义 策略 。 刀 图 标 代表 自 定义 策略 ,能 进行 编辑 和 
操作 。 

系统 自 带 8 种 针对 不 同 环境 配置 的 预定 义 策略 ,针对 这 些 策略 的 详细 说 明 , 请 参考 
《RG-IDS 用 户 操 作 和 使 用 手册 》。 


2 派生 新 策略 
在 策略 模板 区 域 选中 一 个 预定 义 策略 Attack-Detector, 右键 单 击 该 策略 ,在 弹出 的 
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图 4-31 RG-IDS 策略 编辑 器 界面 


菜单 中 选择 “派生 策略 "命令 , 如 图 4-32 所 示 。 
在 弹出 的 对 话 框 中 输入 新 策略 的 名 称 , 如 图 4-33 所 示 。 


白 Mttack_Detector 


图 4-32 RG-IDS 策 略 管理 派生 新 策略 图 4-33 输入 新 策略 的 名 称 
单 击 “ 确 定 "按钮 ,新 策略 显示 在 告警 策略 模板 中 。 


3 策略 编辑 

在 策略 中 可 以 选择 用 户 所 关注 的 事件 签名 进行 检测 ,编辑 策略 的 步骤 如 下 : 

(1) 单 击 一 个 自 定义 策略 。 

(2) 单 击 “ 编 辑 锁 定 ” 按 钮 以 确保 其 他 人 不 能 同时 更 改 策略 。 

(3) 在 攻击 签名 窗口 展开 攻击 签名 。 

(4)“ 选 中 ”或 “取消 选中 ”攻击 签名 。 

(5) 为 攻击 签名 选择 响应 方式 。 

(6) 单 击 “ 保 存 策略 ”按钮 。 

注意 : 不 能 编辑 预定 义 策略 。 可 以 由 预定 义 策略 派生 出 一 个 新 策略 ,然后 对 新 策略 
进行 调整 。 
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4 策略 锁定 和 解除 策略 锁定 

锁定 策略 时 ,在 策略 管理 窗口 单 击 * 编 辑 锁定 "按钮 ,策略 管理 窗口 将 被 锁定 。 当 多 用 
户 同 时 登录 控制 台 时 ,当前 用 户 可 以 编辑 策略 ,其 他 用 户 不 能 修改 。 

解除 策略 锁定 时 ,在 策略 管理 窗口 单 击 “ 解 除 锁定 ”按钮 ,编辑 权限 被 释放 , 当 多 用 户 
同时 登录 控制 台 时 ,允许 其 他 用 户 编 辑 策略 。 


5 导出 策略 
右键 单 击 一 个 策略 ,在 弹出 的 菜单 中 选择 “导出 策略 ”命令 ,如 图 4-34 所 示 。 
在 弹出 的 窗口 中 选择 导出 策略 的 位 置 , 如 图 4-35 所 示 。 


相对 
保存 在 [已 Folicy Se 


ET 
RD 
mw | 


图 4-35 选择 导出 策略 的 位 置 
输入 另存 的 文件 名 , 单 击 “ 保 存 ” 按 钮 。 


6 导入 策略 
右键 单 击 某 个 策略 ,在 弹出 的 菜单 中 选择 “导入 策略 ”命令 ,如 图 4-36 所 示 。 
在 弹出 的 窗口 中 选择 导入 策略 的 位 置 , 如 图 4-37 所 示 。 


耻 革 
查找 范围 加 :| 中 raicy le 2 es 


CAspt 


ert RE 
扳 生 策略 (R) 
二 除 策 咯 (D) 
策略 更 名 (v) sm 站 
Co | fC) 司 
届时 但 实 件 类 型 如 [策略 文件 ( spt) my 
图 4-36 导入 策略 图 4-37 选择 导入 策略 的 位 置 
选择 导入 的 策略 , 单 击 “ 打 开 ” 按 钮 ,如 图 4-38 所 示 。 
策略 导入 成 功 。 
了 策略 应 用 


打开 “组 件 ”, 在 EC 下面 的 “引擎 "上 单 击 右键 ,在 弹出 的 菜单 中 选择 “应 用 策略 ” 命 
令 , 如 图 4-39 所 示 。 
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图 4-38 选择 导入 的 策略 国手 


在 弹出 的 “应 用 策略 ”对 话 框 中 选择 需要 下 发 的 策略 , 单 击 “ 应 用 ”按钮 ,如 图 4-40 所 示 。 
弹出 “命令 处 理 进度 …” 对 话 框 ,如 图 4-41 所 示 , 下 发 完毕 后 引擎 会 自动 重启 。 


图 4-40 选择 需要 下 发 的 策略 图 4-41 “命令 处 理 进度 …” 对 话 框 


【注意 事项 】 


。 不 能 编辑 预定 义 策略 ,可 以 由 预定 义 策略 派生 出 一 个 新 策略 ,然后 对 新 策略 进行 调整 。 
。 如 果 用 户 定义 的 策略 不 能 编辑 ,请 检查 策略 编辑 是 否 已 经 锁定 ,并 进行 解锁 。 


4.4 配置 交换 机 端口 镜像 


【实验 名 称 】 
配置 交换 机 端口 镜像 。 


【实验 目的 】 
使 用 交换 机 的 端口 镜像 功能 分 析 网 络 中 的 特定 流量 。 
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【背景 描述 】 

革 企 业 网 络 管理 员 发 现 网 络 中 有 异常 流量 ,需要 对 网 络 流量 进行 手动 分 析 。 

【需求 分 析 】 pei Be 

对 于 网 络 中 需要 管理 员 进 行 手工 分 上 mon io2 会 
析 的 异常 流量 ,需要 将 管理 员 PC 配置 


192.168.1.1124 ， FE03 192.168.1.2/24 


成 端口 镜像 机 器 ,异常 流量 的 数据 包 都 | 
镜像 到 管理 员 PC, 然 后 抓 取 数 据 包 。 会 
192.168.1.3/24 bes 


【实验 拓扑 】 


如 图 4-42 所 示 的 网 络 拓 扑 , 某 企业 
网 络 管理 员 发 现 网 络 中 有 异常 流量 ,需要 对 网 络 流量 进行 手动 分 析 , 为 了 提高 网 络 的 安 
全 ,需要 将 流量 异常 数据 包 通 过 镜像 端口 转发 到 管理 员 PC, 然 后 抓 取 数 据 包 , 实 现 网 络 的 
安全 防范 功能 。 


【实验 设备 】 
交换 机 1 台 
PC 3 台 
【预备 知识 】 


。 交 换 机 转发 原理 。 
。， 交 换 机 基本 配置 。 
。， 端口 镜像 原理 。 


【实验 原理 】 


交换 机 的 端口 镜像 特性 可 以 允许 管理 员 对 网 络 中 的 特定 流量 进行 镜像 分 析 , 即 在 交 
换 机 上 ,对 特定 流量 进行 复制 并 发 送 到 指定 端口 。 


【实验 步骤 】 
1 定义 需要 镜像 的 特定 流量 


Switch# configure 


4-42 配置 交换 机 端口 镜像 网 络 拓扑 图 


Switch (config)# monitor session 1 source interface fastEthemet 0/1 both 


2 配置 镜像 流量 的 流出 端口 


Switch (config)# monitor session 1 destination interface fastEthemet 0/2 
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3 验证 测试 
将 PC1 接 入 F0/1 接口 ,PC2 接 人 Fo/2 接口 ,PC1 与 PC2 之 间 可 以 互相 ping 通 。 


4 验证 测试 

将 PC3 接 人 Fo/3 接口 , 且 设置 其 IP 地 址 为 192. 168. 1. 3, 并 使 用 抓 包 软 件 进 行 抓 
在 PC1 上 ping PC2 的 IP 地 址 。 

由 于 PC1 到 PC2 的 流量 被 交换 机 镜像 到 了 Fo/3 端口 ,所 以 在 PC3 上 使 用 抓 包 软 件 


可 以 抓 到 PC1 到 PC2 的 网 络 流量 ,如 图 4-43 所 示 。 


No Tme Source Destination 3rotocol Info 


ICMP Echo (ping) request 
ICMP ”Echo (ping) reply 
ICMP ”Echo (ping) request 
ICMP Echo (ping) reply 


图 4-43 ”验证 测试 


【参考 配置 】 
Switch# show running- config 


Building configuratiom** 
Current configuration: 611 bytes 


! 
version 1.0 
! 
hostname Switch 
! 
interface vlan 1 
no shutdown 
! 
monitor session 1 destination interface fastEthemet 0/2 
monitor session 1 source interface fastEthermet 0/1 both 
end 


4.5 ”端口 扫描 攻击 检测 


【实验 名 称 】 
端口 扫描 攻击 检测 。 
【实验 目的 】 


RG-IDS 对 端口 扫描 (port scan) 攻 击 的 检测 。 
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【背景 描述 】 

在 校园 网 中 服务 器 被 外 网 用 户 扫 描 和 探测 ,RG-IDS 部 署 在 外 网 出 口 .DMZ 区 ,数据 
中 心 ,检测 外 网 和 内 网 用 户 对 DMZ 服务 器 数据 中 心 区 应 用 层 的 攻击 ,以 及 恶意 扫描 和 
探测 行为 的 审计 。 

【需求 分 析 】 

需求 : 外 网 用 户 的 恶意 扫描 探测 ,内 网 用 户 遭 受 病毒 攻击 后 ,会 自动 向 外 发 送 扫描 ， 
传播 是 虫 等 病毒 ,危害 内 网 安全 。 

分 析 : 通过 RG-IDS 端口 扫描 攻击 的 检测 ,初步 识别 攻击 的 源 和 目的 ,从 而 进行 及 时 
防御 ,将 威胁 降 到 最 低 ,更 好 地 保护 学 校 网 络 的 安全 。 


【实验 拓扑 】 


如 图 4-44 所 示 的 网 络 拓扑 , 某 企业 网 络 管理 员 发 现 网 络 中 有 异常 流量 ,外 网 用 户 的 
恶意 扫描 探测 ,内 网 用 户 遭 受 病毒 攻击 后 ,会 自动 向 外 发 送 扫描 ,传播 蠕虫 等 病毒 ,危害 内 
网 安全 ,希望 通过 RG-IDS 端口 扫描 攻击 的 检测 ,初步 识别 攻击 的 源 和 目的 ,从 而 进行 及 
时 防御 ,将 威胁 降 到 最 低 ,实现 网 络 的 安全 防范 功能 。 


攻击 主机 


172.16.5.127 


172.16.5.128 172.16.5.100 


交换 机 
(端口 镜像 ) 


RG-IDS 控 制 台 RG-IDS 


| 172.16.5.125 
被 攻击 主机 
图 4-44 ”RG-IDS 端口 扫描 攻击 检测 网 络 拓扑 图 


【实验 设备 】 

PC 3 台 
RG-IDS ”1 台 
直 连 线 4 条 


交换 机 1 台 ( 支 持 多 对 一 的 端口 镜像 ) 
攻击 工具 ”portscan12( 端 口 扫描 工具 ) 
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【预备 知识 】 


。 交换 机 端口 镜像 配置 。 
。 RG-IDS 配置 。 
。 portscan12 攻击 工具 使 用 。 


【实验 原理 】 


端口 扫描 向 目标 主机 的 TCP/IP 服务 端口 发 送 探测 数据 包 , 并 记录 目标 主机 的 响应 。 
通过 分 析 响应 来 判断 服务 端口 是 打开 的 还 是 关闭 的 ,就 可 以 得 知 端口 提供 的 服务 或 信息 。 
端口 扫描 也 可 以 通过 捕获 本 地 主机 或 服务 器 的 流入 /流出 IP 数据 包 来 监视 本 地 主机 的 运 
行情 况 , 它 仅 能 对 接收 到 的 数据 进行 分 析 , 帮 助 我 们 发 现 目 标 主 机 的 某 些 内 在 的 弱点 ,而 
不 会 提供 进入 一 个 系统 的 详细 步骤 。 

端口 扫描 技术 行为 作为 恶意 攻击 的 前 奏 , 严 重 威胁 用 户 的 网 络 ,RG-IDS 通过 扫描 的 
行为 特征 准确 地 识别 出 恶意 的 扫描 行为 ,并 及 时 通知 管理 员 。 

本 实验 通过 攻击 者 常用 的 portscan12 端口 扫描 工具 进行 端口 扫描 攻击 ,检验 RG- 
IDS 对 端口 扫描 攻击 的 检测 能 力 。 


【实验 步骤 】 


1 策略 编辑 
如 图 4-45 所 示 , 单 击 主 界面 上 “策略 ”按钮 ,切换 到 策略 编辑 器 界面 ,从 现 有 策略 模板 
中 生成 一 个 新 策略 。 在 新 的 策略 中 选择 tcp :portscan 签名 ,并 将 策略 下 发 到 引擎 中 。 


一 一 一 一 
1 四 文件 E) 视图 (Y) 工具 (I) 帮助 (H) -Ox 


4 [| 


2H ” 接 到 | 条 | 娄 | 用 
了 导入 第 本 () 多 导出 第 喇 (E) ”同和 解 院 近 可 锁定 L) [保存 第 略 (S) ”派生 策略 (R) 和 X 抽 际 征 咯 (D) | 


est (用 户 自 定 又 策 路 ， 可 编辑 ) 
Bo | : 时 2 可 
a 
ree 国 
加 

加 
ssewity Pais ins.. . 
server petena ?po 
rominaos Jetworks 于 ee 
i 人 

SS 


Ez ee: 


SP 团 。。。。。| 加 雪人 四 7 4 = 
< 用 户 等 录 时 间 : 2007-10-19 11:56:23> 用 户 123qwe 在 0 秒 之 内 没有 任何 哲 作 。 Eap | 


图 4-45 策略 编辑 器 界面 
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2 实施 攻击 
双击 只 要 文件 ,启动 端口 扫描 攻击 程序 ,如 图 4-46 所 示 。 
配置 扫描 参数 ,地 址 设置 为 172. 16. 5.125, 其 他 项 不 需要 修改 ,如 图 4-47 所 示 。 


图 4-47 配置 扫描 参数 
| 按钮 ,开始 扫描 ,扫描 状态 如 图 4-48 所 示 。 


图 4-48 启动 扫描 功能 


3 查看 安全 事件 信息 

进入 RG-IDS 控制 台 ,通过 “安全 事件 ”组 件 查 看 IDS 检测 的 安全 事件 信息 ,如 图 4-49 
所 示 。 

RG-IDS 将 准确 检测 出 tcp :portscan 事件 ,事件 详细 信息 如 图 4-50 所 示 。 


wm 110 m= 


me 第 4 章 ， 入 侵 检测 系统 实践 技术 gm 


ji 文件 E) 视图 Y) 工具 (TD) 吉 助 (H) 袜 汪 六 
中 四 [本 | 去 加 多 | 回 | 问 
| 安生 事 件 后 可 多 售 s 组件 用 P 系统 B 志 关于 
日 车 凑 IF 个 数 (0 
日 匡 172.16.5.127 避 ) 
外 的 了 个 孝 : 高 风险 =0 中 风险 =0 低 风险 =0 通知 =0 
高 风险 中 风险 低 风 险 
2007-10-19 “安全 事件 风险 频率 统计 图 
个 数 
ao 
tm 
Mo 
2 
SD 
安全 事件 列表 
事件 名 称 | ma | 信 二 器 | 行 
tcp:portscan 2007-10-19 32 引擎 探测 
tcp:portscan 2007-10-19 19:32:35 引擎 探测 
FET DED ES 国 


< 用 户 若 录 时 间 ; 2007-10-19 11;56:23> 用 户 在 口 炒 之 内 没有 任何 换 作 。 于 
4-49 查看 IDS 检测 的 安全 事件 信息 


Ree 
:B007-10-19 19:46:20 


: 刁 草 风 队 级别: 急 书 所 险 
HN 行 ” 为 : 畸 而 

: 216.5.127 /随机 注 口 ” 可 信和 度 : Bo% 

: Jrz.16.51257 随 和 项 吕 数目 : 人 


12.16.5.127 -》172. 16.5.125 TCF syn portscan: 2049 ports in 173 
seconds 


类 型 响应 方式 
万 DISPLAY 在 控制 台 上 显示 
en 写 入 数据 库 保存 
口 全 SNMP 发 送 SNMP Trap 
ODOMAL 发 送 电子 邮件 通知 
口 &usER 发 送 响 应 至 用 户 指定 应 用 程序 
口 集 OoPSEC 发 送 啊 应 至 Checkpoint 防 火 墙 
Xaeane [= | | 


4-50 ”RG-IDS 检测 出 tcp:portscan 事件 


【注意 事项 】 


。 攻击 工具 portscan12. exe 只 能 用 于 实验 使 用 ,不 可 用 于 其 他 途径 。 
。 在 实验 过 程 中 可 以 调节 延 时 的 长 短 轩 5 |]。 
。 在 实验 过 程 中 ,可 以 通过 选择 RSS 来 提高 扫描 的 速度 。 
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”4.6 ”DoS 攻击 检测 


【实验 名 称 】 
DoS 攻击 检测 。 


【实验 目的 】 

使 用 RG-IDS 对 DoSCWeb CC) 攻 击 进行 检测 。 

【背景 描述 】 

某 网 络 中 的 Web 服务 器 经 常 被 外 网 用 户 扫描 、 探 测 和 攻击 ,于 是 网 络 工 程 师 部 署 了 
IDS 系统 以 对 各 种 攻击 进行 检测 ,以 及 对 恶意 扫描 和 探测 行为 进行 审计 。 


【需求 分 析 】 


需求 : CC 攻击 采用 HTTP 方式 ,通过 GET 或 POST 方式 在 短 时 间 里 采用 多 线程 方 
式 访问 Web Server 中 比较 消耗 计算 机 资源 的 一 种 攻击 方式 。 在 网 络 中 对 外 发 布 的 Web 
Server 很 容易 受到 此 类 攻击 ,而 使 服务 器 瘫痪 ,无 法 正常 工作 和 响应 正常 的 Web 访问 
请 求 。 

分 析 : 通过 IDS 对 Web CC 攻击 进行 检测 ,初步 识别 攻击 的 源 和 目的 ,从 而 进行 及 时 
防御 ,将 威胁 降 到 最 低 ,更 好 地 提高 网 络 安 全 性 。 


【实验 拓扑 】 


如 图 4-51 所 示 的 网 络 拓扑 , 某 企 业 网 络 管理 员 发 现 网 络 中 的 Web 服务 器 经 常 被 外 
网 用 户 扫描 、 探 测 和 攻击 ,于 是 部 署 了 IDS 系统 对 各 种 攻击 进行 检测 ,以 及 对 恶意 扫描 和 
探测 行为 进行 审计 ,以 实现 网 络 的 安全 防范 功能 。 


攻击 主机 
172.16.5.127 
172.16.5.128 172.16.5.100 Fo2 
MGT MON 交换 机 
u Ng Fo/ (端口 镜像 ) 
RG-IDS 控制 台 RG-IDS F03 
172.16.5.125 
被 攻击 主机 


图 4-51 RG-IDS 对 DoS 攻击 检测 网 络 拓扑 图 
2 
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【实验 设备 】 

PC 3 台 
RG-IDS ”1 台 
直 连 线 4 条 


交换 机 1 台 ( 支 持 多 对 一 的 端口 镜像 ) 
攻击 工具 Webcc. exe(Web CC 攻击 工具 ) 
工具 软件 Webserverv12. exe(Web 服务 器 ) 


【预备 知识 】 


。 交换 机 端口 镜像 配置 。 

。 RG-IDS 配置 。 

。 Web CC 攻击 工具 。 

。 Webserverv12. exe 使 用 。 


【实验 原理 】 


Web DoS 主要 用 来 攻击 Web 页 面 。 攻 击 者 向 目标 主机 上 比较 大 的 CGI 页 面 发 起 
HTTP 请 求 ,造成 目标 主机 拒绝 服务 。 攻 击 者 模拟 多 个 用 户 ( 多 少 线程 就 是 多 少 用 户 ) 不 
停 地 进行 访问 ,访问 那些 需要 大 量 数据 操作 , 即 需 要 消耗 大 量 CPU 资源 的 页 面 。 这 种 攻 
击 和 正常 的 Web 访问 很 类 似 , 因 此 攻击 者 可 以 很 好 地 隐藏 自己 ,也 可 以 绕 开 防火 墙 对 目 
标 主 机 进行 攻击 。 

Web CC 攻击 方法 较为 简单 , 易 被 黑客 所 掌握 。 因 此 ,此 类 攻击 严重 威胁 用 户 正常 的 
Web 资源 ,RG-IDS 通过 行为 特征 准确 地 识别 出 恶意 的 行为 ,并 及 时 产生 告警 。 


【实验 步骤 】 


1 搭建 Web 服 务 器 
将 Webserverv12. exe 工具 复制 到 被 攻击 主机 172. 16. 5. 125 中 ,并 运行 该 软件 ,使 被 
攻击 主机 不 用 做 任何 配置 即 可 当做 一 台 简 易 的 Web 服务 器 ,如 图 4-52 所 示 。 


eo. 102. 3.141 


[Enail : [sesoft@163. com 

门 用 Windors 局 动 到 行 

口 局 动 后 最 小 化 
安吉 此 访问 网 站 


在 线 人 数 : 
| Ba 和 | | 停 L 上 re 服务 | 清 辽 Loe 


sarver is waiting for connections 


图 4-52 搭建 Web 服务 器 
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该 软件 不 需要 做 任何 配置 。 如 果 被 攻击 主机 本 身 已 经 被 配置 为 Web 服务 器 , 则 不 需 
要 运行 此 软件 。 

2 策略 编辑 

单 击 主 界面 上 的 “策略 ”按钮 ,切换 到 策略 编辑 器 界面 ,从 现 有 的 策略 模板 中 生成 一 个 
新 的 策略 。 在 新 的 策略 中 选择 www2 下 的 Webcc 签名 ,设置 该 签名 的 参数 : WebHOST 
为 172. 16. 5. 125 ,保存 策略 ,并 将 策略 应 用 到 引擎 设备 上 ,如 图 4-53 所 示 。 


加 | | 窗 5ackerd | 


7 了 表 这 在 本 第 曲子 包 中 定义 的 不 同 数 .用户 可 届 术 测 到 一定 时间 同 了 内 并 发 访问 
oh 服务 习 的 刁 第 通 记 流量 


司 | Mma 
攻 一 吉事 中 | 和 生 守 3 4 SEN 图 


图 4-53 进行 RG-IDS 策略 编辑 


3 实施 攻击 

在 MS DoS 下 运行 Webcc. exe 文件 ,启动 Web CC 攻击 程序 。 命 令 格式 为 “Webcc 
要 攻击 的 Web 服务 器 地 址 要 刷新 的 Web 页 的 路 径 要 攻击 的 Web 服务 器 端口 ”>。 例 如 ， 
本 实验 环境 可 以 使 用 Webcc. exe 172. 16. 5. 125 /index. html, 如 图 4-54 所 示 。 


C:VWINDOWS\systea32Vcad. exe [| 


图 4-54 启动 Web CC 攻击 程序 
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执行 完毕 后 ,在 IDS 控制 台 查看 事件 信息 。 


4 查看 警报 
进入 RG-IDS 控制 台 ,通过 “安全 事件 组件 查看 IDS 检测 的 安全 事件 信息 ,如 图 4-55 
所 示 。 


TD 
昌 加 15 4) 
i 了 2 
高 风险 中 风险 一 低 凡 险 通知 
讲 
2 
aa 
a 
| 
日 
Cr 3 
和 a 
国 mi >>> 
图 SiTopletit 外 >、> 


国 车 基 TOPlt 革 计 轩 >>> 


0 。 172.46.5.27 > 172.16.5.125; webdos 
50% 172:16.5.127 -> 172.16.5.128 webdos 
172.16.5.427 -> 172.16.5.125: wabdos 
SO% 172-16.5.127 -> 172.16.5-125+wabdos 
5095 172:16.5.127 -> 172.16.5.125; Webdos 
0 172.165.127 -> 172,16.5.125; Webdos 


FY TICEDEA TAZ 全 EU a 日 
图 4-55 查看 IDS 检测 的 安全 事件 信息 


当归 
¥ 


RG-IDS 将 准确 检测 出 Web CC 事件 ,事件 详细 信息 如 图 4-56 所 示 。 


:ravedee wedos vst puee 


风 陆 级 别 : 寺 了 1 
行 ”为 : 本 册 
3 15S.IZT / 4262 可 信和 度 5 Bo% 
: 数目 下 
措 、 证: 


.16,5. 127 -> T2165. 125, webdos visit your honepage web sites 
attack 


图 4-56 事件 详细 信息 
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【注意 事项 】 


攻击 工具 Webcc. exe 只 能 用 于 实验 ,不 可 用 做 其 他 途径 。 
www2:Webcc 主要 参数 功能 说 明 如 下 : 

»。 WebHOST 

要 保护 的 Web 服务 器 地 址 ,必须 填 才 能 生效 。 

该 参数 只 支持 IPv4 格式 , 暂 不 支持 域名 格式 。 

» MAXDROPIPNUM 

引擎 最 大 缓存 攻击 IP 数 。 

。 WebPORT 

HTTP 流量 使 用 的 端口 。 

认为 包含 HTTP 流量 的 TCP 数据 包 的 端口 号 列表 。 

» INTERVAL 

每 一 次 刷新 网 页 的 时 间 间 隔 。 

加 大 该 参数 会 加 大 性 能 消耗 ,建议 管理 员 使 用 默认 配置 。 
» MAXCOUNT 

特定 IJP 在 INTERVAL 时 间 间 隔 内 访问 网 页 的 最 多 次 数 。 
该 参数 只 针对 客户 端 。 


4 了 DDoS 攻击 检测 


【实验 名 称 】 
DDoS 攻击 检测 。 
【实验 目的 】 
使 用 RG-IDS 对 DDoS 攻击 进行 检测 。 
【背景 描述 】 


某 网 络 中 由 于 使 用 者 的 安全 意识 不 强 , 经 常 遭 受 黑客 的 DDoS 攻击 ,于 是 网 络 工程 师 
部 署 了 IDS 系统 对 DDoS 攻击 进行 检测 。 


【需求 分 析 】 
RG-IDS 能 及 时 检测 出 DDoS 攻击 行为 ,并 及 时 上 报到 控制 台 。 
【实验 拓扑 】 


如 图 4-57 所 示 的 网 络 拓扑 , 某 企 业 网 络 管理 员 发 现 网 络 中 使 用 者 的 安全 意识 不 强 ， 
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经 常 遭 受 黑客 的 DDoS 攻击 ,于 是 部 署 了 IDS 系统 对 DDoS 攻击 进行 检测 ,以 实现 网 络 的 
安全 防范 功能 。 


攻击 主机 
10.0.3.170 
® 
172.16.5.128 172.16.5.100 FO/2 
、 交换 机 
Q (端口 镜像 ) 
RG-IDS 控 制 台 RG-IDS 
BP 10.03.84 


被 攻击 主机 
图 4-57 RG-IDS 对 DDoS 攻击 检测 网 络 拓扑 图 


【实验 设备 】 

PC 3 人 台 

RG-IDS Sensor 1 人 台 

直 连 线 4 条 

交换 机 1 台 ( 支 持 多 对 一 的 端口 镜像 ) 
攻击 工具 DDoSPing 

【预备 知识 】 

。 交换 机 端口 镜像 配置 。 

。 RG-IDS 配置 。 

【实验 原理 】 


DDoS( 分 布 式 拒绝 服务 攻击 ) 广 义 上 可 以 指 任 何 导 致 用 户 的 服务 器 不 能 正常 提供 服 
务 的 分 布 式 攻击 。 造 成 拒绝 服务 攻击 的 原因 很 多 ,这 里 主要 指 通过 网 络 进行 的 DDoS 攻 
击 。 这 种 攻击 使 服务 器 充斥 大 量 要 求 回复 的 信息 ,消耗 网 络 带宽 或 系统 资源 ,而 导致 网 络 
或 系统 不 胜 负荷 以 至 于 瘫痪 而 停止 提供 正常 的 网 络 服务 。 


【实验 步骤 】 


1 策略 编辑 
如 图 4-58 所 示 , 单 击 主 界面 上 的 “策略 ?按钮 ,切换 到 策略 编辑 器 左 侧 树 状 列表 界面 ， 
从 现 有 的 策略 模板 中 生成 一 个 新 的 策略 。 在 新 的 策略 中 选择 ddos: trinoo: trinoo _ 
command 签名 ,并 将 策略 下 发 到 引擎 中 。 
7 


ee 网络 安全 防御 技术 实践 教程 m5 


2 实施 攻击 
使 用 DDoSPing 工具 ,在 Start IP address 以 及 End IP address 文本 框 中 分 别 填 上 被 
攻击 主机 的 IP 范围 ,然后 单 击 右 下 角 的 Configuration 按钮 ,如 图 4-59 所 示 。 


图 4-58 RG-IDS 策略 编辑 器 界面 4-59 使 用 DDoSPing 工具 实施 攻击 (1) 


具体 配置 如 图 4-60 所 示 。 
单 击 OK 按钮 ,返回 到 程序 主 界面 , 单 击 右上 角 的 Start 按钮 ,如 图 4-61 所 示 。 


[Program stasted. Thu Aug 28 17:2847 2008 


Waiing 6 seconds fo fnal results... 
Program stopped Thu Aug 28 17.28.53 2008 


i 
3 
图 4-60 具体 配置 图 4-61 使 用 DDoSPing 工具 实施 攻击 (2) 
3 查看 警报 


进入 RG-IDS 控制 台 ,通过 “安全 事件 "组件 查看 IDS 检测 的 安全 事件 信息 ,RG-IDS 


w= 118 m= 
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将 准确 检测 出 ddos_trinoo:trinoo_command 事件 ,如 图 4-62 所 示 。 


a 4 EEC 


EE 


2008-06-11 00:05:29 事件- 


: 高 风险 =0 中 风险 =0 低 风险 =0 而 知 =0 


Dp mapectet 高 风险 中 风险 低 风 给 ”一 一 通知 
tp 2008-06-11 安全 事件 风险 频率 统计 图 
加 者 wp sazaleccz) 4 要 


国语 wp mtisy 5) 


可 信 度 撕 天 
60% 10.0.3170 -> 100384 trnoo DOoS 2g| 
60% 10.0.3.170 -> 1003.84 trnoo DDoS ag| 


Br i ee 1 |y 划 
全 本 册 加 ] < 用 户 涩 了 时 间 ; 2008-06-11 02:06:45> 用 记 ! 在 徐 之 内 概 有 任何 失 作 ， tian Ea] 


图 4-62 查看 IDS 检测 的 安全 事件 信息 


事件 详细 信息 如 图 4-63 所 示 。 


EE 
Ci | wearse | 


事件 名 称 : Rdos_trineo:trinoo_command 


在 控制 台 上 显示 


写 入 数据 库 保存 

发 送 SNMP Trap 

发 送 电子 邮件 通知 

发 送 响 应 至 用 户 指定 应 用 程序 
发 送 响 应 至 Checkpoint 防 火 墙 


入 朗 从 到 各 


4-63 事件 详细 信息 


【注意 事项 】 


DDoSPing 工具 只 能 用 于 实验 。 
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48 ”密码 策略 审计 


【实验 名 称 】 

密码 策略 审计 。 

【实验 目的 】 

使 用 RG-IDS 对 网 络 服务 的 登录 密码 强度 进行 审计 。 

【背景 描述 】 

某 企业 网 络 中 使 用 FTP 服务 器 提供 文件 传输 服务 。 用 户 在 访问 FTP 服务 器 之 前 需 
要 进行 身份 验证 。 由 于 FTP 服务 器 中 存放 了 很 多 重要 的 数据 和 文件 ,所 以 需要 用 户 使 用 
高 强度 安全 性 的 密码 进行 认证 。 

【需求 分 析 】 


需求 : 密码 是 最 常见 的 一 种 认证 形式 ,而 且 经 常 是 外 部 和 重要 服务 之 间 的 唯一 壁垒 。 
攻击 者 可 以 使 用 一 些 程序 来 猜测 或 “破解 ”密码 ,但 是 通过 选择 一 个 安全 的 密码 并 做 好 必 
要 的 保密 工作 ,就 可 以 使 未 经 授权 却 想 非法 进入 服务 变 得 非常 困难 。 通 常 在 组 织 内 部 对 
用 户 访问 其 重要 服务 器 的 密码 安全 均 有 强度 等 安全 要 求 。 

分 析 : 通过 RG-IDS 实时 检测 和 告警 ,使 管理 员 及 时 发 现 使 用 不 安全 密码 登录 的 用 
户 , 并 及 时 进行 必要 的 调整 ,降低 不 必要 的 风险 。 


【实验 拓扑 】 


如 图 4-64 所 示 的 网 络 拓扑 , 某 企 业 网 络 管理 员 发 现在 网 络 中 使 用 FTP 服务 器 ,提供 
文件 传输 服务 。 用 户 在 访问 FTP 服务 器 之 前 需要 进行 身份 验证 。 由 于 FTP 服务 器 中 存 
攻击 主机 


10.0.3.86 


172.16.5.128 172.16.5.100 FO0/2 


被 攻击 主机 
图 4-64 RG-IDS 密码 策略 审计 网 络 拓扑 图 
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放 了 很 多 重要 数据 和 文件 ,所 以 需要 用 户 使 用 高 强度 安全 性 密码 进行 认证 ,以 实现 网 络 安 
全 防范 功能 。 


【实验 设备 】 
PC 3 台 
RG-IDS 1 台 
直 连 线 4 条 
交换 机 1 台 ( 支 持 多 对 一 的 端口 镜像 ) 


【预备 知识 】 


。 交换 机 端口 镜像 配置 。 
。 RG-IDS 配置 。 
。 FTP 服务 器 的 配置 。 


【实验 原理 】 


密码 攻击 是 骇 客 攻击 时 最 常用 到 的 方式 之 一 ,利用 密码 的 猜测 、 暴 力 破解 等 方法 来 党 
握 关 键 账号 的 密码 ,从 而 达到 控制 远程 机 器 的 目的 。 

防范 此 种 攻击 最 常用 的 方法 是 保障 密码 的 强度 , 即 对 账号 所 使 用 的 密码 长 度 、 复 杂 度 
(使 用 大 小 写 ,字母 ,数字 , 非 标准 字符 等 进行 组 合 ) 进 行 强制 性 控制 。 

本 实验 模拟 某 FTP 服务 器 登录 账号 密码 使 用 简单 密码 ,IDS 将 及 时 产生 告警 。 


【实验 步骤 】 


1 策略 编辑 

如 图 4-65 所 示 , 单 击 主 界面 上 的 “策略 ”按钮 ,切换 到 策略 编辑 器 界面 ,从 现 有 的 策略 
模板 中 生成 一 个 新 的 策略 。 在 新 的 策略 中 选择 authentication :authentication 及 FTP , 根 
据 策 略 要 求 调整 authentication : authentication 的 检测 参数 ,将 PASSWORD_MATCH、 
NUMPASS 的 值 置 为 1 ,并 将 策略 下 发 到 引擎 中 。 


捍 回 

浊 

浊 

由 

币 加 四 wow i 

田 回 和 aas 1 

:4 关 : 

Eo dns 6 

男 口 自 terprisesottvar 

so ee ee 

二 i 
名 回 自 inp 

| 和 

2 一 


图 4-65 RG-ID 策略 编辑 器 界面 
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2 使 用 弱 密 码 进行 登录 
在 FTP 服务 器 上 建立 账户 test01 和 test02 ,密码 分 别 是 123456 和 test02。 在 FTP 


客户 端 机 器 上 分 别 使 用 账户 test01 和 test02 进行 登录 。 


3 查看 警报 
进入 RG-IDS 控制 台 ,通过 “安全 事件 ”组 件 查看 IDS 检测 的 安全 事件 信息 ,如 图 4-66 
所 示 。 
ns | 
和 一 一 BR ET— 本 脱 一 一 得 放 
多 le.0 1 6) 2008-05-14 安全 事件 风 队 频率 统 计 图 
| | 
m2 
图 BeTDelot 吕 >>> 
国 tiiroplotl 亚 >>> 
ss 
一 一 一 


图 4-66 查看 IDS 检测 的 安全 事件 信息 


RG-IDS 将 准确 检测 出 两 次 弱 密 码 登 录 事件 ,事件 详细 信息 如 图 4-67 和 图 4-68 
所 示 。 


1 hmtiedtion baalensth 
+ R08-05-14 15:01:38 


3 


: 0 7 iN 
: mass Fa 


ee Length Nert ~ Login’ Suecess— Frow 10-0,3- 88, To 
10.3. 站 


ar 
FTP, Usernint; testO1, Passvord; 


图 4-67 RG-IDS 将 准确 检测 出 第 一 次 弱 密码 登录 事件 
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: mt haanah 
5005-05- 15:02;18 
158 


: jee 
: I 
: hm ra 


se Dates PR Wir testhe, Passw 
Tangth: 6 


ord Leneth ALert 一 i Sueress— Prom 10-0. 3 66, To 
or dy 间 
Assword 


COGGSEly | 


图 4-68 ”RG-IDS 将 准确 检测 出 第 二 次 弱 密码 登录 事件 


4 修改 策略 
在 RG-IDS 控制 台中 修改 策略 参数 ,将 ALERT PASSWORDS 值 修改 为 1, 保存 并 应 
用 策略 到 IDS 当中 ,如 图 4-69 所 示 。 


前 badend | 
自 
6 类 到 : 
版 本 : 

息 wo hacend_id: 

二 参 和 列表 : 
由 回 昌 ws 
口 自 brosacssttv 
由 日 日 maee RECDRD PASSWORIS 
由 日 ciscodos | 
四 口 自 cvspserver MIN_PASSYORD_LENGTH scalur 8 
回 昌 utes BAD-USER_LIST “dgift: ainini 
由 口 日 ae BAD_PASSYORD_LIST 
由 日 自 as BAD-SRC_IP ap 

BAD-DST-IP ar 

DB werprisesstea ry 
OO fineer WULLPASS 
日 回 和 ep MUPASS 
Om 3 
回 B i 


4-69 在 RG-IDS 控制 台中 修改 策略 参数 


5 重新 登录 FIP 服 务 器 

重复 第 2 步 和 第 3 步 , 观 察 安全 事件 详细 信息 的 差异 ,在 安全 事件 信息 中 将 显示 出 不 
安全 的 密码 ,如 图 4-70 和 图 4-71 所 示 。 

authentication: authentication 主要 参数 功能 说 明 如 下 : 

。 ALERT_PASSWORDS 

告警 密码 显示 。 

此 值 设置 后 用 来 判断 是 否 需要 在 事件 告警 时 显示 用 户口 令 信息 
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3 uthentication badleneth 

: Bo- 17:46:25 

下 反 险 级别: 全 1 
: hor 行为: ji 
[0.0,3.686 71076 可 信和 度 ; fo% 

: fon3ss Fa 数目: 业 


iaaw Passeord Length ert ~ Login Success 一 on 10.0. 3.88, To 
上 0.0.3,85, Service: FTP, Usernane; testDl, Passvord; 123456, Fassword 
本 


FE) 

事件 名 称 ; hthentication badlength 

时 间 : Ro08-05-14 159317508 

传感器 : 58 风 陆 纪 别 : 镭 了 1 
通讯 押 议 3 FE 行 ”为 : 卫 隶 

源 地 址 :5 了 003667 110 可 入 度 5 Toy 
TREE 数目: 不 

描述 ; 

芝 Fassvord Leneth Kert ~ Login: Success ~ From: 10.0.3.86, To 


.0.3,85, Service: FIP, Usernene: test02, Password;) tastD2 Fassword 
BB 


4-71 RG-IDS 将 准确 检测 出 第 二 次 弱 密码 登录 事件 


» MIN_PASSWORD_LENGTH 
和 触发 事件 告警 的 最 短 口令 长 度 。 
此 策略 值 设置 后 , 当 告 警 的 口令 小 于 8 位 时 ,系统 将 进行 告警 。 
» BAD_USER_LIST 
错误 的 用 户 名 列表 。 
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触发 事件 告警 的 错误 用 户 名 称 列表 或 不 准确 口令 或 用 户 名 。 

» BAD PASSWORD_LIST 

错误 的 口令 列表 。 

触发 事件 告警 的 错误 的 或 不 安全 的 用 户口 令 。 

» BAD SRC IP 

错误 的 源 IP 地 址 。 

触发 事件 告警 的 源 IP 地 址 。 

» BAD_DST_IP 

错误 的 目的 IP 地 址 。 

触发 事件 告警 的 目的 IP 地 址 。 

»。 PASSWORD_ MATCH 

用 户 名 和 口令 相同 时 是 否 触发 事件 告警 。 

此 参数 值 设置 为 1 时 检测 用 户 和 口令 匹配 时 触发 告警 ,设置 为 0 时 不 进行 检测 。 

。NULLPASS 

空 口令 。 

参数 值 设 置 为 1 时 当 检 测 到 口令 为 空 时 触发 事件 告警 ,设置 为 0 时 不 告警 。 

。NUMPASS 

数字 口令 。 

参数 值 设置 为 1 时 当 检 测 到 口令 仅 为 数字 时 触发 事件 告警 ,设置 为 0 时 不 告警 。 

。 ALPHAPASS 

字母 口令 。 

参数 值 设置 为 1 时 当 检 测 到 口令 仅 为 字母 时 触发 事件 告警 ,设置 为 0 时 不 告警 。 

» SPACEPASS 

口令 中 有 空格 。 

参数 值 设置 为 1 时 当 检 测 到 口令 中 有 空格 时 触发 事件 告警 ,设置 为 0 时 不 告警 。 

。 WHITESPACEPASS 

口令 是 空白 ( 即 没有 输入 任何 键 时 ) 。 

参数 值 设 置 为 1 时 当 检 测 到 口令 是 空白 时 触发 事件 告警 ,设置 为 0 时 不 告警 。 

» ALPHANUMPASS 

字母 和 数字 口令 。 

参数 值 设 置 为 1 时 当 检 测 到 口令 是 字母 和 数字 组 成 时 触发 事件 告警 ,设置 为 0 时 不 
告警 。 

。ANONYMOUS_USERS 

匿名 用 户 列表 。 表 中 的 匿名 用 户 可 以 不 受 密码 长 度 的 限制 。 默 认 添加 了 部 分 知名 的 
匿名 用 户 。 
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4.9 1IS 服务 漏洞 攻击 检测 


【实验 名 称 】 

JIS 服务 漏洞 攻击 检测 。 

【实验 目的 】 

使 用 RG-IDS 对 IIS 服务 漏洞 攻击 进行 检测 。 
【背景 描述 】 


在 某 网 络 中 使 用 Windows 的 IIS 服务 组 件 搭建 了 一 个 Web 服务 器 。 但 是 最 近 在 网 
络 中 发 现 经 常 有 针对 IIS 的 攻击 发 生 。 于 是 网 络 工程 师 部 署 了 IDS 系统 对 各 种 攻击 进行 
检测 ,以 及 对 恶意 扫描 和 探测 行为 进行 审计 。 


【需求 分 析 】 


需求 : IIS 4.0 和 IIS 5.0 在 Unicode 字符 解码 的 实现 中 存在 一 个 安全 漏洞 ,导致 用 
户 可 以 远程 通过 IIS 执行 任意 命令 。 当 IIS 打开 文件 时 ,如 果 该 文件 名 包含 Unicode 字 
符 , 它 会 对 其 进行 解码 ,如 果 用 户 提供 一 些 特殊 的 编码 ,将 导致 IIS 错误 地 打开 或 者 执行 
某 些 Web 根 目录 以 外 的 文件 。 

分 析 : RG-IDS 能 够 实时 地 检测 网 络 中 针对 IIS 服务 的 攻击 ,并 及 时 告警 。 


【实验 拓扑 】 


如 图 4-72 所 示 的 网 络 拓扑 , 某 企业 网 络 管理 员 使 用 Windows 的 IIS 服务 组 件 搭建 了 
一 个 Web 服务 器 。 但 是 最 近 在 网 络 中 发 现 经 常 有 针对 IIS 的 攻击 发 生 。 于 是 网 络 工程 
师 部 署 了 IDS 系统 以 对 各 种 攻击 进行 检测 ,以 及 对 恶意 扫描 和 探测 行为 进行 审计 ,以 实 
现 网 络 的 安全 防范 功能 。 


攻击 主机 
172.16.5.127 
172.16.5.128 172.16.5.100 F02 
交换 机 
(端口 镜像 ) 
ss 
RG-IDS 控 制 台 RG-IDS 
园 172.16.5.125 


被 攻击 主机 
图 4-72 RG-IDS 对 IIS 服务 漏洞 攻击 检测 网 络 拓扑 图 
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【实验 设备 】 

BE 3 

RG-IDS 1 台 

直 连 线 4 条 

交换 机 1 台 ( 支 持 多 对 一 的 端口 镜像 ) 
攻击 软件 IIS Cracker. exe(IIS 攻击 工具 ) 


【预备 知识 】 


。 交换 机 端口 镜像 配置 。 
。 RG-IDS 配置 。 
。 IIS Cracker 操作 。 


【实验 原理 】 


IIS(Internet Information Service) 可 以 让 有 条 件 的 用 户 轻易 地 建立 一 个 本 地 化 的 网 
站 服务 器 ,同时 提供 HTTP 访问 .文件 传输 (FTP) 服 务 以 及 邮件 服务 等 。 

但 是 IIS 服务 漏洞 或 缺口 层出不穷 ,黑客 不 仅仅 可 以 利用 其 漏洞 停滞 计算 机 的 对 
外 网 络 服务 ,更 可 修改 其 中 的 主页 内 容 , 甚 至 利用 其 漏洞 进入 到 计算 机 内 部 ,删改 主机 
上 的 文件 。 以 “扩展 UNICODE 目录 遍历 漏洞 ?为 例 ,黑客 就 可 以 利用 工具 软件 (如 IIS 
Cracker) 进 入 到 计算 机 内 部 。 通 过 IIS Cracker 入 侵 成 功 后 ,可 以 查看 对 方 主机 上 的 文 
件 , 通 过 远程 控制 人 侵 ,黑客 拥有 对 主机 上 的 主页 和 文件 进行 窃取 、 修 改 和 删除 等 
权限 。 

本 实验 通过 IIS Cracker 工具 攻击 开放 IIS 服务 的 Web 服务 器 并 获得 权限 。RG-IDS 
能 及 时 准确 地 检测 出 该 类 攻击 ,并 将 警告 上 报 给 控制 台 。 


【实验 步骤 】 


1 使 用 Windows 的 IIS 组 件 搭建 Web 服 务 器 
在 IIS 中 搭建 Web 服务 器 的 过 程 见 相关 资料 ,为 不 影响 主题 ,此 处 略 。 


2 策略 编辑 

如 图 4-73 所 示 , 单 击 主 界 面 上 的 “策略 ”按钮 ,切换 到 策略 编辑 器 界面 ,从 现 有 的 策略 
模板 中 生成 一 个 新 的 策略 。 在 新 的 策略 中 选择 www2:iis:nimda_scan_alert 签名 ,并 将 
策略 下 发 到 引擎 中 。 


3 实施 攻击 


,a 文件 ,启动 IIS 攻击 程序 ,如 图 4-74 所 示 。 


图 4-75 所 示 。 
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FIOG 四 

去 首 下 训 加 他 ) 工具 江 ) 过 仙 ] -sx 

me 
EE ED 芭 贱 用 产 系统 日 志 Xx 


自 SMED 作 SEE) 和 MEL) 国 RF##EE) 诉 主 第 路 (9) XX 其 3 条 民 ID] 元 知 E 更 2N) 
ET 编辑 》 


el est 茵 satevent | 局 S84 | 
i 
i 


htainad 


Bais 
四 :ee naea 

四 season 
Bmae 


Cra 


区 
各 才 类 得 | 
< 用 P 宣 录 时 间 ; 2007-10-19 11;56:29> 用 户 123qwc 在 D 妙 之 内 没有 任 河 操 作 ， 匡 古 证 琅 


图 4-73 RG-ID 策 略 编辑 器 界面 


口 Suse 区 过 用 相 至 用户 指定 应用 相 序 
口 很 ons=c 和 响 直 至 chedqpont 区 水 墙 


，II5 Cracker Yersion 2.1.4221 黑白 专 版 Povered by 心动 网 盟 " 小金 001@ng1c. net 


龟 守 晶 肥 回 B Ba 


Unicodegk 击 方式 | 


IT2165135 MiesoklS 
192168.01 Meroeok lS 


19216803 MicosoklS 


@ 主 加 Ed 


过 [TEST 红 口 [5 Unicode 了 二 方式 | 


p [ss |， 

下 1721851 瑟 Mean 
Miosai 
Microaoh 


昔 ||9 目 吕 BD 名曲 XX 


| 
图 4-75 配置 攻击 参数 
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单 击 鳃 按钮 ,开始 攻击 。 攻 击 完 成 后 ,可 以 在 “远程 目录 资源 管理 器 * 区 域 中 找到 被 
攻击 主机 的 文件 目录 ,如 图 4-76 所 示 。 


IIS Cracker Yersion 2.1.4221 黑白 专 版 Povered by 心动 网 盟 - 小 金 007@nelc. net 


司 


人 


贡 本 


外 J 上 


和 RR ED 而 古本 可用 66 [不 机 R172T65T27 | 
图 4-76 ”找到 被 攻击 主机 的 文件 目录 


单 击 虑 ,按钮 , 即 可 进入 被 攻击 主机 的 系统 目录 ,如 图 4-77 所 示 。 


IIS Cracker Version 2.1.4221 黑白 专 版 Povered by 心动 网 盟 “小金 007@nelc. net 


全 守 久 及 回 允 


当前 连接 站 了 16515 请 D Unicode 政 击 方式 「 
服务 器 列表 


MicrosofHIS 
MicrosofHlS 
MictosofHIS 


rm DFD63850. .. DFEDS3873... DFT63682 Documents iafsayr exe Inetpub I0.SIS 
and Se 


国 国 口 口 国 息 国 


ierosof... MSDOS. STS INTOETECT. 


国 怠 国力 


nt Wm paeefile 


Nivile.. Mege Sie ikl 
es ve 
ELE 0 CE 没有 闭 标 ”266 [已 用 要 7 ME | 可 用 要 问 :20 56 | 让 机 JP172165127 


图 4-77 进入 被 攻击 主机 的 系统 目录 
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4 查看 警报 


进入 RG-IDS 控制 台 ,通过 “安全 事件 ”组件 查看 IDS 检测 的 安全 事件 信息 ,如 图 4-78 
所 示 。 


-Sx 


I 


安全 事件 统计 图 


a 司 本 
| 安全 事件 报表 查 疝 
日 七 源 节 个 数 (1) 
日 名 172.16.5.127 2) 

O wm _iisininds_scan(2) 


jc 文件 中 视图 人 工具 (T) 大助 导 ) 


2007-10-19 06:27:28 


高 风险 中 风险 低 风险 


2007-10-19 ”安全 事件 风险 频率 统计 图 
人数 
2 
1 
1 
| | pm "| 
| 加 
| 事件 名称 | 时 间 | 伟大 明生 为 
全 www2_isinimda_scan 2007-10-19 20;38;55 引擎 攻击 
@ www2 :nmda_scan 2007.10.19 20:36:25 引 草 双击 
| gr Bt IP | SH 1 i 国 
< 用 户 革 杂 时 间 : 2007-10-19 11:56:23> 用 户 在 0 秒 之 内 没有 任何 换 作 。 


图 4-78 查看 IDS 检测 的 安全 事件 信息 


RG-IDS 将 准确 检测 出 www2:iis: nimda_scan_alert 事件 ,事件 详细 信息 如 图 4-79 
所 示 。 


事件 名 称 :nr2_iis:ninda_scan 
时 间 : R007-10-19 20:38:55 


传感器 : 站 覃 ”风色 别 : 兮 部队 
通讯 协议 :FrcP 行 ”为 : 艳 击 

源 地 址 : hi72.16.5.127 / 1690 可 信和 度 : Bo% 

目的 地 址 : 72.16.5.125 / 80 数 目 : 上 

描述 : 

72 16. 5. 127 -> 172 16.5. 125, Winds Scan 

响应 : 

类 型 | 响应 方式 

回 量 DISsPLAY 在 控制 台 上 显示 

回国 Locpe 写 入 数据 库 保存 

口 侈 sNp 发 送 SNMP Trap 

OOMAL 发 送 电 子 邮件 通知 

口 人 usER 发 送 响应 至 用 户 指定 应 用 程序 

口 祭 opSEC 发 送 啊 应 至 Checkpoint 防 火 墙 
ee 
an Cj Cm 


图 4-79 事件 详细 信息 
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【注意 事项 】 


攻击 工具 IIS Cracker 只 能 用 于 实验 。 


410 ”缓冲 区 溢出 攻击 检测 


【实验 名 称 】 

缓冲 区 溢出 攻击 检测 。 

【实验 目的 】 

使 用 RG-IDS 对 缓冲 区 溢出 攻击 进行 检测 。 

【背景 描述 】 

在 某 网 络 中 很 多 主机 使 用 Windows 操作 系统 ,但 是 发 现在 网 络 中 经 常 有 针对 


Windows 系统 的 攻击 发 生 。 于 是 网 络 工程 师 部 署 了 IDS 系统 对 各 种 攻击 进行 检测 ,以 及 
对 恶意 扫描 和 探测 行为 进行 审计 。 


【需求 分 析 】 

为 了 检测 针对 Windows 系统 的 攻击 ,可 以 部 署 IDS 系统 ,并 根据 IDS 产生 的 告警 来 
定位 攻击 源 。 

【实验 拓扑 】 


如 图 4-80 所 示 的 网 络 拓扑 , 某 企 业 网 络 管理 员 发 现 很 多 主机 使 用 Windows 操作 系 
统 , 经 常 有 针对 Windows 系统 的 攻击 发 生 。 于 是 网 络 工程 师 部 署 了 IDS 系统 对 各 种 攻击 
进行 检测 ,以 及 对 恶意 扫描 和 探测 行为 进行 审计 ,以 实现 网 络 的 安全 防范 功能 。 


攻击 主机 
10.0.3.131 
局 
172.16.5.128 172.16.5.100 FO0/2 
交换 机 
同 (端口 镜像 ) 
RG-IDS 控制 台 RG-IDS 
10.0.3.90 


被 攻击 主机 
图 4-80 RG IDS 对 缓冲 区 溢出 攻击 进行 检测 网 络 拓扑 图 
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【实验 设备 】 

PC 3 台 
RG-IDS 1 合 
直 连 线 4 条 


交换 机 1 台 ( 支 持 多 对 一 的 端口 镜像 ) 

攻击 软件 metasploit V3. 1 

攻击 主机 Microsoft Windows 操作 系统 

被 攻击 主机 Windows 2000 Server( 未 安装 Service Packet) 


【预备 知识 】 


。 交换 机 端口 镜像 配置 。 
。 RG-IDS 配置 。 
。 metasploit 工具 使 用 。 


【实验 原理 】 


Win32. Sasser. A 是 一 个 通过 Windows 2000、Windows XP 和 Windows Server 2003 
系统 漏洞 (MS04-011) 传 播 的 蠕虫 病毒 ,病毒 文件 长 度 为 15872 字 节 。 远 程 攻击 者 可 以 利 
用 这 个 漏洞 以 SYSTEM 权限 在 系统 上 执行 任意 指令 , “震荡 波 ” 病 毒 就 是 利用 这 个 漏洞 
产生 的 。 

微软 的 Server 服务 中 的 漏洞 可 能 允许 远程 执行 代码 ,这 是 一 个 比较 严重 的 漏洞 ,从 
Windows 2000 SP4 到 Windows XP SP2 再 到 Windows 2003 SP1, 还 有 64 位 操作 系统 ， 
无 一 幸免 。 这 个 漏洞 的 最 著名 的 利用 就 是 “ 魔 波 "(MS06-040) 蠕 虫 病毒 。 

RG-IDS 检测 该 溢出 攻击 发 生 时 的 网 络 行为 特征 (基于 客户 系统 已 存在 的 漏洞 ) 。 


【实验 步骤 】 


1 策略 编辑 

如 图 4-81 所 示 , 单 击 主 界面 上 的 “策略 ?按钮 ,切换 到 策略 编辑 器 界面 ,从 现 有 的 策略 
模板 中 生成 一 个 新 的 策略 。 在 新 的 策略 中 选择 msrpc: ms05039: upnp_ms05039 以 及 
msrpc:ms06040:srvsvc_ms06040_overflow 签名 ,并 将 策略 下 发 到 引擎 中 。 


2 实施 攻击 

1) MS04-011 

选择 “开始 ”菜单 中 的 -metasploit 3-metasploit 3 GUI 菜单 项 ,启动 metasploit 攻击 程 
序 , 如 图 4-82 所 示 。 
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一 印 - 苹 田 1 


图 图 一 回力 图 图 -图 图 - 困 图 图 -图 图 图 


图 4-82 打开 metasploit 程序 


依次 选择 exploits-windows-smb, 在 下 面 的 漏洞 列表 中 双击 ms04_011_lsass, 如 
图 4-83 所 示 。 


# MSF::NSSISGanG 


Nr A Hn A 


4-83 选择 漏洞 列表 


按照 下 面 的 步骤 在 弹出 的 对 话 框 中 选择 相应 的 参数 ,payload 选择 windows/shell_ 
bind_tcp,RHOST 填 上 被 攻击 主机 的 IP 地 址 ,其 他 按 默认 选项 ,如 图 4-84 一 图 4-87 


所 示 。 


‘Soioct your target 
TD 一 
人 
京 消 节 前 进 四 


4-84 选择 漏洞 列表 相应 的 参数 (1) 
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Microse! Et LSSS Servire DsRolerWperadeDoralevelSerrer Overflor [EEL 
# MSF:NSSiSGanG 
| ET 习 
your paytoad BR 
保存 加 | 
取消 (C) 后 四 衣 进 日 
4-85 选择 漏洞 列表 相应 的 参数 (2) 
| Moo LEE ET SR DC 3 | 


# Msr-:NSSISGan 


Revew your configuradon befors cicdng the apply bution 


SSL -false 
EnableContextEncoding false 

Contaxtintormadoafle cjProgram FilesMstaspledFramewonG 
aind yp 


4-87 ”选择 漏洞 列表 相应 的 参数 (4) 


在 此 步 时 可 以 单 击 Save 按钮 保存 现 有 的 配置 ,以 便 下 次 使 用 。 
单 击 Apply 按钮 , 则 可 以 开始 对 被 攻击 主机 使 用 漏洞 进行 攻击 ,在 被 攻击 主机 上 会 
出 现 以 下 的 情形 “利用 ms04-011 漏洞 导致 系统 崩 演 重启 ”, 如 图 4-88 所 示 。 
2) MS06-040 
依次 选择 exploits-windows-smb, 在 下 面 的 漏洞 列表 中 双击 ms06_040_netapi, 如 
图 4-89 所 示 。 
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mg| | 着 姜 司 | mrs 


am © #9 [or 


图 4-89 选择 漏洞 列表 


按照 下 面 的 步骤 在 弹出 的 对 话 框 中 选择 相应 的 参数 ,如 图 4-90 所 示 


证 Microyof Server Service NetpwpathCarnonicalie Overilow ea -1 


Select your target 


wcscoy) Adomatc (NT 4.0, 2000 SPO-SP4 XP SPO-SP1 四 


Eancel Forwara 


图 4-90 选择 相应 的 参数 
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在 Select your payload 参数 中 选择 windows/shell _bind_tcp, 如 图 4-91 一 
所 示 。 


MSF-:NSSiSGanG 


wnaows/snel_ming_icp 站 
Select your payioad 


户 acommeaonandspawnacommandshel 
Sa 


Sancel Bar .foward 


图 4-91 选择 漏洞 列表 相应 的 参数 (1) 


| Microsont Server Service NetpwPztmCancnicalze Overfiow 


Stangard 


EE ae ony 


图 4-92 选择 漏洞 列表 相应 的 参数 (2) 


# Microsof Seryer Service NetowPathCanonicalize Overilow E99 


Rewew your confguration before chcang he apphy :uton 
BROWSER 


ember 
PANLOAD wndows/shel_sind_Ycp 


LPORT 4 
tneoderdont uownn talse 


RPORT 
ail 903% 


4-93 ”选择 漏洞 列表 相应 的 参数 (3) 


在 此 步 时 可 以 单 击 Save 按钮 保存 现 有 的 配置 ,以 便 下 次 使 用 。 


图 4-93 


单 击 Apply 按钮 , 则 可 以 开始 对 被 攻击 主机 使 用 漏洞 进行 攻击 ,如 果 攻 击 成 功 ,在 


metasploit 界面 的 sessions 栏 中 可 以 看 到 下 图 中 的 内 容 ,双击 后 即 可 获得 被 攻击 


的 shell(DOS 命令 行 ), 如 图 4-94 和 图 4-95 所 示 。 
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主机 上 
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KK oxo 
5 .OMA 7226777.600 CEO>OXU 


图 4-94 获得 被 攻击 主机 上 的 shell(1) 图 4-95 获得 被 攻击 主机 上 的 shell(2) 
在 攻击 端 选择 "文件 ”添加 主机 ?选项 ,添加 对 方 的 IP 地 址 。 


3 查看 警报 
进入 RG-IDS 控制 台 , 通 过 “安全 事件 ”组件 查看 IDS 检测 的 安全 事件 信息 ,如 图 4-96 
和 图 4-97 所 示 。 


EET yl 
la ZE) NEY) 工 CT WH) -x 


[wa | 
件 | | 当天 覃 咕 | 党 吧 ” 拔 首开 P | 六 统 昌吉 | 关于 


ET 1W 同 到 可 限度 入 过 
合 mpc_me0401lactiyedi 2008.05.09 23:53:33 398 EE3 SO% LSASS Active Diractery Ecpk 


国庆 | 局 BEP 困 |<o 作 #8 | 4+ | ] 到 
了 本 辣 入 ] -用户 登 录 时 间 : 2008 06 09 20:55:49> 用 户 1 在 0 种 之 内 汉 让 放 休 旧作 。 EDEDEE 


4-96 查看 IDS 检测 的 安全 事件 信息 (1) 


RG-IDS 将 准确 检测 出 msrpc:ms04011:activedir_alert 以 及 msrpc:ms06040:srvsvc 
_ms06040_overflow_alert 事件 ,事件 详细 信息 如 图 4-98 和 图 4-99 所 示 。 
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Br | + | 


号 到 同 络 ] < 用 户 营 和 bh 避 : 2009 .06 09 20:55:49> 用 户 1 在 0 各 之 内 没 儿 何 漳 作 。 


图 4-97 


到 


CEE | 详细 信息 | 


查看 IDS 检测 的 安全 事件 信息 (2) 


事件 名 称 : hsrpe_ms04011; activedir 

时 间 : 8006-06-09 23:53:33 

传感器 : 198 风险 红 别 : ”使 厅 抽检 
通讯 协议 :FFC 行 ” 为 : 风雷 
源 地 址 : 10.0.3.131 / 6096 可 信和 度 : Roy 
目的 地 址 : |i0.0.3.90 / 445 数 目 : 
描述 : 


LSASS Active Directory Exploit \ OMS04-0411\) attenpt from 
10.0.3.131:6096 to 10.0.3.90:445 via 


回国 LoGD8 
DsNMPp 
OOMAL 
口 &usER 
口 疙 opsEC 


入 他 从 测 系 统 
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回 上 DISPLAY 在 控制 台 上 显示 


写 入 数据 库 保存 

发 送 SNMP Trap 

发 送 电子 邮件 通知 

发 送 响应 至 用 户 指定 应 用 程序 
发 送 响应 至 Checkpoint 防 火 墙 


Cue |] we | 
图 4-98 事件 详细 信息 (1) 


风 
了 图 epa ws0snt0:=rveva waent0_orerBv0] 高 风险 中 风险 低 风险 。 一 一 通知 
ssnort_deurpe 2008-06-06 安全 事件 风险 频率 统计 图 
证 
' 
5 
2| 
Cr 
到 
CE 
图 = 可 ttToplctsil 四 >>> 
国 itssiToplogit 昌 >>> 
EE 
总 | 村人 这 CT | 全 雪 旷 为。 | 可 情 民 | 六 术 = 
人 @ mapc_me06040:svevc-。 2008.05 .09 23:57:52 398 于 70% SSvc Overiow attemptfr 
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EE 
ERE | nf | 

事件 名 称 : hsrpe_ms06040: srvsve_ms06040_overflow 

时 间 : B008-06-09 23:57:52 

传感器 : li98 风险 令 别 :” 侠 高 风险 

通讯 协议 : FrCP 行 ” 为 : 欧 击 

源 地 址 : lo.0.3.131 7 6101 可 信和 度 : Fox 

目的 地 址 : 10.03 987 455 数 目 : 有 

描述 : 


BrvSve Overflow attempt from 10.0.3.131:6101 -> 10.0.3.90:445 via SNB 


响 应: 
加 如 DISpLAY 在 控制 台 上 显示 
回回 Locpe 写 入 数据 库 保存 
DMsNMPp 发 送 SNMP Trap 
OOMAL 发 送 电子 邮件 通知 
口 SusER 发 送 响应 至 用 户 指定 应 用 程序 
口 圭 opSEC 发 送 响 应 至 Checkpoint 防 火 墙 


入 要 性 济 系 统 


图 4-99 事件 详细 信息 (2) 


【注意 事项 】 
metasploit 攻击 软件 只 能 用 于 实验 。 


4.11 Windows PnP 远程 执行 代码 漏洞 攻击 检测 


【实验 名 称 】 
Windows PnP 远程 执行 代码 漏洞 攻击 检测 。 
【实验 目的 】 


使 用 RG-IDS 对 MS-05039 Windows PnP( 即 插 即 用 ) 远 程 执 行 代码 漏洞 攻击 进行 
检测 。 


【背景 描述 】 


在 某 网 络 中 发 现存 在 针对 Windows 系统 的 MS-05039 攻击 ,于 是 网 络 工程 师 部 署 了 
IDS 系统 对 其 进行 检测 。 


【需求 分 析 】 


需求 : Microsoft Windows 即 插 即 用 (PnP) 功 能 允许 操作 系统 在 安装 新 硬件 时 能 够 
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检测 到 这 些 设备 。 在 Microsoft Windows 即 插 即 用 功能 中 存在 缓冲 区 溢出 漏洞 ,成 功利 
用 这 个 漏洞 的 攻击 者 可 以 完全 控制 受 影响 的 系统 。 

分 析 : 通过 RG-IDS 实时 检测 和 告警 ,提醒 管理 员 及 时 安装 操作 系统 补丁 ,并 对 遭受 
攻击 的 机 器 进行 隔离 防御 和 维护 。 


【实验 拓扑 】 


如 图 4-100 所 示 的 网 络 拓 扑 , 某 企 业 网 络 管理 员 发 现存 在 针对 Windows 系统 
MS-05039 攻击 ,于 是 网 络 工程 师 部 署 IDS 系统 对 其 进行 检测 ,以 实现 网 络 安 全 防范 
功能 。 


攻击 主机 
172.16.5.127 
172.16.5.128 172.16.5.100 F0/2 
MON 交换 机 
| E FO (端口 镜像 ) 
2 
RG-IDS 控 制 台 RG-IDS F03 
和 172.16.5.125 
被 攻击 主机 


图 4-100 RG-IDS 对 远程 执行 代码 漏洞 攻击 检测 拓扑 图 


【实验 设备 】 
Be 3 全 
RG-IDS 1 台 
直 连 线 4 条 


交换 机 1 台 ( 支 持 多 对 一 的 端口 镜像 ) 

攻击 软件 ”HOD-ms05039-pnp-expl(PnP 即 插 即 用 攻击 工具 ) 

操作 系统 ”未 打 MS-05039 补丁 的 以 下 任意 操作 系统 (安装 在 被 攻击 主机 上 ) 
Microsoft Windows XP SP2 

Microsoft Windows XP SP1 

Microsoft Windows Server 2003 SP1 

Microsoft Windows Server 2003 

Microsoft Windows 2000 SP4 


【预备 知识 】 


。 交换 机 端口 镜像 配置 。 
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。 RG-IDS 配置 。 
。 HOD-ms05039-pnp-expl 工具 使 用 。 


【实验 原理 】 


Microsoft Windows 即 插 即 用 (PnP) 功 能 允许 操作 系统 在 安装 新 硬件 时 能 够 检测 到 
这 些 设备 。 

在 Microsoft Windows 即 插 即 用 功能 中 存在 缓冲 区 溢出 漏洞 ,成 功利 用 这 个 漏洞 的 
攻击 者 可 以 完全 控制 受 影响 的 系统 。 因 为 PnP 服务 处 理 包 含 了 过 多 数据 的 畸形 消息 。 
在 Windows 2000 上 ,匿名 用 户 可 以 利用 这 个 漏洞 发 送 特制 消息 ;在 Windows XP Service 
Pack 1 上 ,只 有 通过 认证 的 用 户 才能 发 送 恶意 消息 ;在 Windows XP Service Pack 2 和 
Windows Server 2003 上 ,攻击 者 必须 本 地 登录 到 系统 ,然后 运行 特制 的 应 用 程序 才能 利 
用 这 个 漏洞 。 

本 实验 通过 HOD-ms05039-pnp-expl 工具 攻击 未 打 补 丁 的 Windows 操作 系统 ,使 得 
被 攻击 系统 在 一 分 钟 内 重启 ,而 RG-IDS 能 及 时 准确 地 检测 出 来 并 上 报 控制 台 。 


【实验 步骤 】 


1 策略 编辑 

如 图 4-101 所 示 , 单 击 主 界面 上 的 “策略 "按钮 ,切换 到 策略 编辑 器 界面 ,从 现 有 的 策 
略 模板 For_Windows_Networks 中 生成 一 个 新 的 策略 。 在 新 的 策略 中 选择 msrpc: 
ms05039:upnp_ms05039_alert 签名 ,并 将 策略 下 发 到 引擎 中 。 
| 
EE 


适 了 NU) 了 导出 第 咯 E) 多。 篇 缠 镶 定 () 。 国 忆 5NESI) 刚 志和 NS) X SID) 地 先 S 更 SM 
test 《用户 自 定义 策略， 尚未 进行" 编辑 镇 定 "， 不 可 编辑 ) 
me | 


千克 第 略 
inseriy pe 
白 Defanlt 
seiv aig rine. 
se neeea 
ror tinaows moon 加 
回忆 mm 
Baer J 
由 ms05043 
uu [3 ms0504T 
一 "WE 外 回国 asosos! 
氏 心 外 回国 saols 
外 回国 seoes 
加 回国 oosot 
名 as060T0D 国 
[ES 本。 | 著 一 种 件 加 特 开 事件 | 4 下 到 
[号 嫂 同 络 | < 用 户 登 录 时 间 : 2007-10-19 11:56:23> 用 户 123qwe 在 0 埃 之 内 没有 任何 换 作 。 [IILIT 1z 


图 4-101 RG-IDS 策略 编辑 器 界面 
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2 实施 攻击 


将 文件 加 _ 拖 和 DOS 命令 行 中 ,如 图 4-102 所 示 ， 


C: Docunent tings Adninistrator ocunents and Settings\Adninistraton 


桌面 HOD-ns858: expl 


图 4-102 实施 攻击 


配置 攻击 参数 ,在 后 面 加 上 被 攻击 的 地 址 172. 16. 5. 125 和 任意 端口 号 ,如 图 4-103 
所 示 。 


:\bocunents and Settings\A \Docunents and Settings\Adninistratol 
| 


图 4-103 配置 攻击 参数 


攻击 完成 后 ,DOS 命令 行 显示 如 图 4-104 所 示 


HC:\¥INDOWS\systea32\cad. exe gl 才 


unents and SettingsNhdninistrat 


《HS85-939》 Microsoft Windows Plug Play Service Renote Overflow 
Un al Exploit + no crash shellcode 


[ET 
[x] null se 


[x] bind pipe 


图 4-104 DOS 命 令 行 显示 
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攻击 成 功 后 ,在 被 攻击 主机 172. 16. 5. 125 系统 界面 上 会 弹出 提示 框 ,警告 系统 在 1 
分 钟 后 会 自动 重启 ,如 图 4-105 所 示 。 


关闭 系统 功 


离 关 机 还 有 : 00:00:55 


站 一 一 
at 
Eh 


图 4-105 攻击 成 功 后 主机 的 状态 


3 查看 警报 
进入 RG-IDS 控制 台 , 通 过 * 安 全 事件 组件 查看 IDS 检测 的 安全 事件 信息 ,如 


图 4-106 所 示 。 
1 文件 E) 视图 (Y) 工具 IT) 帮助 (H) 
ES Wy 
| 
日 革 尖 IP 个 数 (1) 安全 事件 统计 图 
dh) oepHARNt<<< ， 
9 2007-10-19 01:05:57 事件 个 数 : 高 风险 = 无 中 风险 = 无 低 凤 险 = 无 通知 = 
高 风险 中 风险 低 风 险 | 
2007-10-19 安全 事件 风险 频率 统计 图 
人数 
ao 
0 
1o 
一 加 | 
站 FE 峡 
安全 事件 列表 
时 间 | 传 二 器 | 行为 
2007-10-19 21:02:15 引擎 玫 击 
中 


EE 加 目标 六 | 圳 事 人 | 史 人 入 4》 
< 用 户 臭 录 时 间 : 2007-10-19 11:56:23> 用 户 123qwe 在 0 秒 之 内 没有 任何 换 作 。 


4-106 查看 IDS 检测 的 安全 事件 信息 
RG-IDS 将 准确 检测 出 msrpc:ms05039:upnp_ms05039_alert 事件 ,事件 详细 信息 如 


图 4-107 所 示 。 


【注意 事项 】 
攻击 工具 HOD-ms05039-pnp-expl 只 能 用 于 实验 。 
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7 
事件 名 称 : hsrpe_ms05039;upnp_ms05039 
时 间 : po07-I0-19 2102:15 
传感器 : 同 醒 风险 令 别 :全 到 下 
通讯 协议 : FFC 行为: 际 击 
福地 址 : 2 16.5127 7 1714 可 信和 度 : Fay 
目的 地 址 :172.16.5.125 / 445 数 目 : 下 
描述 : 
EnF Argment Overflow M505-039) from 172.16.5.127:1714 -> 
72. 16. 5. 125:445 via SMB 
响应 
类 型 响应 方式 
回 厂 DISPLAY 在 控制 各 上 显示 
巴 国 locoe 写 入 数据 库 保 存 
口 免 sNMP 发 送 SNMP Trap 
口 人 AlL 发 送 电子 邮件 通知 
口 SusER 发 送 响应 至 用 户 指定 应 用 程序 
口 售 opsEC 发 送 响应 至 Ccheckpoint 防 火 墙 
Rane EE Ee 


图 4-107 事件 详细 信息 


412 ”木马 攻击 检测 


【实验 名 称 】 
木马 攻击 检测 。 
【实验 目的 】 
使 用 RG-IDS 对 特洛伊 木马 攻击 进行 检测 。 


【背景 描述 】 
在 某 企业 网 络 中 ,最 近 发 现 不 少 的 主机 感染 了 木马 ,给 主机 整个 网 络 的 正常 运行 带 来 
了 很 大 影响 。 
【需求 分 析 】 
需求 : 木马 ,又 名 特洛伊 木马 ,其 名 称 取 自 古 希 腊 神 话 的 特洛伊 木马 记 , 它 是 一 种 基 
于 远程 控制 的 黑客 工具 ,具有 很 强 的 隐蔽 性 和 危害 性 。 为 了 达到 控制 服务 端 主机 的 目的 ， 
木马 往往 要 采用 各 种 手段 达到 激活 自己 、 加 载运 行 的 目的 。 传 统 的 木马 分 为 客户 端 和 服 
务 器 端 ,安装 在 被 攻击 主机 上 的 是 服务 器 端 ,客户 端 在 攻击 主机 上 对 被 攻击 主机 进行 
控制 。 
分 析 : 通过 使 用 RG-IDS 进行 实时 的 检测 和 告警 ,可 以 通知 管理 员 在 网 络 中 存在 木 
马 攻击 ,并 及 时 地 进行 查 杀 。 
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【实验 拓扑 了 


如 图 4-108 所 示 的 网 络 拓扑 , 某 企业 网 络 管理 员 发 现在 网 络 中 发 现 不 少 主机 感染 了 木 
马 ,给 主机 整个 网 络 的 正常 运行 带 来 了 很 大 影响 ,于 是 部 署 了 IDS 系统 ,进行 实时 的 检测 和 
告警 ,通知 管理 员 网 络 中 存在 木马 攻击 ,并 及 时 进行 查 杀 ,以 实现 网 络 的 安全 防范 功能 。 


攻击 主机 
10.03.91 
172.16.5.128 172.16.5.100 F0/2 
LN MGT “MON & 才 交换 机 
» Wg FO/l (端口 镜像 ) 
RG-IDS 控 制 台 RG-IDS F0/3 


10.0.3.90 
被 攻击 主机 
图 4-108 木马 攻击 检测 网 络 拓扑 图 


【实验 设备 】 
PC 3 台 
RG-IDS 1 台 
直 连 线 4 条 


交换 机 1 台 ( 必 须 支 持 多 对 一 的 端口 镜像 ) 
攻击 软件 ” 灰 蚀 子 、 冰 河 


【预备 知识 】 


。 交换 机 端口 镜像 配置 。 
。 RG-IDS 配置 。 
。 灰 钥 子 .冰河 工具 的 使 用 。 


【实验 原理 】 


灰 钥 子 是 一 个 国内 流行 的 用 于 远程 控制 计算 机 的 程序 ,时 常 被 恶意 使 用 ,普遍 被 归 类 
为 特洛伊 木马 程序 。 灰 铝 子 工作 室 于 2003 年 初 成 立 ,定位 于 远程 控制 .远程 管理 .远程 监 
控 软 件 开发 ,主要 产品 为 灰 铝 子 远程 控制 系列 软件 产品 。 然 而 ,目前 互联 网 上 出 现 了 利用 
灰 饮 子 远程 管理 软件 以 及 恶意 破解 和 算 改 灰 饮 子 远程 管理 软件 为 工具 的 行为 。 
冰河 是 一 个 老牌 的 木马 程序 ,通过 冰河 用 户 可 以 远程 控制 被 攻击 者 的 主机 ,具体 功能 
包括 : (1) 监 控 目 标 机 屏幕 变化 ,(2) 记 录 各 种 口令 信息 ,(3) 获 取 系 统 信息 ,(4) 限 制 系 
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统 功能 ，(5) 远 程 文件 操作 ，(6) 注 册 表 操作 等 。 
RG-IDS 通过 检测 这 两 种 木马 运行 时 的 网 络 行为 特征 ,并 对 其 防御 。 


【实验 步骤 】 


1 策略 编辑 

如 图 4-109 所 示 , 单 击 主 界面 上 的 “策略 ”按钮 ,切换 到 策略 编辑 器 界面 ,从 现 有 的 策 
略 模板 中 生成 一 个 新 的 策略 。 在 新 的 策略 中 选择 trojans: huigz:. huigz_alert 以 及 
trojans:glactcp:glac_tcp_alert 签名 ,并 将 策略 下 发 到 引擎 中 。 


由 四 站 back_orifice 
由 加 站 bo2k 
图 deep_throat 


:四 


图 4-109 策略 编辑 器 界面 


2 实施 攻击 

1) 灰 钥 子 木 马 

双击 灰 铀 子 客户 端 H_Client. exe( 在 本 案例 中 如 果 灰 蚀 子 客户 端 无 法 打开 ,请 重新 
解压 * 灰 铀 子 _ 牵手. zip” 文 件 ,生成 一 个 新 的 客户 端 程序 再 执行 ), 如 图 4-110 所 示 。 


| 
Ex 


图 4-110 打开 灰 铝 子 木马 程序 
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选择 “文件 "菜单 下 的 “配置 服务 程序 ”选项 或 直接 按 F12 键 进入 服务 器 端 并 进行 配 
置 ,如 图 4-111 所 示 。 


图 4-111 选择 配置 服务 程序 


在 “连接 类 型 "选项 卡 中 默认 选择 “主动 连接 型 : 远程 打开 监听 端口 ,等 待 你 的 连接 控 
制 ? 单 选 按钮 ,其 他 设置 均 可 按 默认 无 须 修改 , 单 击 * 生 成 服务 器 ”按钮 ,如 图 4-112 所 示 。 


图 4-112 选择 主动 连接 型 


服务 器 端 程序 Setup. exe 就 生成 了 ,如 图 4-113 所 示 。 
把 服务 器 端 程序 Setup. exe 复制 到 被 攻击 主机 上 并 双击 运行 服务 器 端 程序 Setup 
.exe, 如 图 4-114 所 示 。 
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Er 

QO 7 Dm (x | 四- 

WED [Or FF EE 
RR Ew -~ 
asserxy | 加 名 名 
印 部 巡 1 和 
EE 
@ Tt 训 


全 电邮 和 天 必 

自 Tt 从 一 
X Mi ~ 
KE 和 

< EM 1 

CE 

操 2 


EE 
加 Li 各 


EE 国 


详细 信息 区 


-7 6: 机 天 个 37 加 [EE 
图 4-113 生成 服务 器 端 程序 


| 
TD ED 
图 4-114 复制 服务 器 端 程序 


在 客户 端 H_Client. exe 上 单 击 “增加 主机 ?按钮 ,添加 对 方 的 (运行 了 灰 镁 子 服务 器 
端的 被 攻击 主机 )IP 地 址 ,如 图 4-115 所 示 。 

此 时 可 进行 一 系列 操作 ,如 查看 对 方 系统 信息 、 下 载 对 方 文件 到 本 地 等 ,如 图 4-116 
和 图 4-117 所 示 。 

2) 冰河 木马 

双击 冰河 客户 端 G_CLIENT. EXE ,并 选择 “设置 ">“ 配 置 服务 器 程序 ”选项 ( 注 : 冰 
河 木 马 跟 上 文 所 提 的 灰 饮 子 木马 不 一 样 , 服 务 器 端 程序 G_SERVER. EXE 并 不 是 随 着 配 
置 生成 的 ,以 下 步 又 只 是 改变 其 属性 而 已 。 原 始 的 服务 器 端 程序 G_SERVER. EXE 必 

148 


te 第 4 章 入 侵 检测 系统 实践 技术 mm 


ml 
i 


图 4-117 下 载 对 方 文件 到 本 地 


mu 149 mm 
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须 跟 客 户 端 程序 G_CLIENT. EXE 在 同一 文件 夹 下 ,否则 无 法 完成 配置 ), 如 图 4-118 
所 示 。 


EEE ECE ly 
Er 编辑 [E] 1 
让 EEE 


| Si: [Derm 访问 口令 应 用 加 | 


所 文人 管理 器 | 吧 命 控 制 G | 


站 了 卫 f 了 
现下 汉王 回忆 [we om 同 可 国 
图 4-118 配置 服务 器 程序 (1) 


按照 默认 设置 无 须 改变 参数 , 单 击 “ 确 定 ” 按 钮 ,如 图 4-119 所 示 。 


;冰河 Y6.4 [NEVFWE 考 版 ] 


文件 四 映 锋 [E 。 设置 [6】 帮助 [0 


i 


进香 名 聊 : Fnaor 访问 D 令 : 


Passwerd connect, account, login 1ogon 


7 让 关闭 | 


[RE 
出 到 | 王国 口 和 i [Be ter BTEC 
4-119 ”配置 服务 器 程序 (2) 


所 有 配置 均 确认 无 误 后 再 单 击 “ 是 ”按钮 ,如 图 4-120 所 示 。 

单 击 “关闭 ”按钮 ,完成 服务 器 配置 ,如 图 4-121 
所 示 。 

服务 器 端 程序 G_SERVER. EXE 配置 就 生效 了 ,如 
图 4-122 所 示 。 

把 冰河 服务 器 端 G_SERVER. EXE 复制 到 被 攻击 
主机 上 并 双击 运行 服务 器 端 程序 G_SERVER. EXE。 
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服务 器 配置 
共 本 设置 | 到 自爱 保 护 | 租 邮件 通知 | 

Se [sr | 

这 妇 名 疝 : ni 访问 口令 : 

地 辣 二 本息, 本 9 这 着 本 录 账户 ,password connect accomt login, logon | 
提示 信息 : 「 

HE 厂 自动 只 安装 文件 。。 订 禁止 自动 扩 号 


mene mm | x | 


图 4-121 完成 服务 器 配置 


文件 四 “ 编 得 @， 查看 呈 。 收 训 风 工具 人 帮助 0 | 二 


OO HP Cx | 

一 rm 一 
NR | 9 力 

本 人名 这 个 文人 GLE ，opraeini BEANE TAT 

ph | 
四 bbz 人 文件 
© fe rtm 
9 纺 ER 
Xi 文件 


风 陵 日 央 : 2008-7-11 16:37 大 小 :256 十 3 ET | 


图 4-122 生成 服务 器 端 程序 


在 攻击 主机 上 的 冰河 客户 端 G_CLIENT. EXE 上 选择 “文件 ”>“ 添 加 主机 ”选项 , 添 
加 对 方 的 (运行 了 冰河 服务 器 端的 被 攻击 主机 )IP 地 址 ,如 图 4-123 所 示 。 


文件 所) 二 才思 RIA PHO [3 
园 疗 -并 ee -一 
LE Er re 5 目 辐 
Sn 了 = 

丰 | 购 购 轴 黑 时 生 | 到 明治 久 必 

3 n,m mm 


Ep ET [EEC IE 
图 4-123 添加 对 方 的 他 地 址 
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在 “文件 管理 器 ”列表 栏 处 出 现 对 方 主机 后 双击 并 进行 一 系列 操作 如 查看 屏幕 文件 
传输 等 ,如 图 4-124 所 示 。 


| 文件 四 扎 汪 如 可 看 四 收 诚 旭 工具 中 必 助 名 


E23 
RE 
四 vo。 [rerrvs 专 瞩 ] -al 对 
DD vt 目 晤 
EE 
i 本 Ee 
首开 虹 轩 | 时 轩 和 | 加 时 治 全 
pe EE me 习 mo:Fe vans:| 应 用 加 
日 二 丰 地 进 全 文件 六 再 器 | 取 全 控制 各 | 
Hoege go00-1-10 10:00:00 
Heze18 2000-1-10 12:00:00 
O2000-4-l8 10-21:08 
ie zmmg-trls :ST:19 
ouee4 2000-LiD 12:00:00 
划 » 
wm "Cue | term EPLEED 


图 4-124 查看 对 方 主机 信息 


3 查看 警报 


进入 RG-IDS 控制 台 , 通 过 “安全 事件 ”组件 查看 IDS 检测 的 安全 事件 信息 ,如 
图 4-125 和 图 4-126 所 示 。 


SS Goss e EEE 
ey A MO) 工 RLT WR) ax 


高 R 往 中 风险 低 R 隆 一 一 通知 
2008-06-06 安全 事件 风险 频率 统计 图 


Hug eonecton hom 10.0. 
198 六 0% Hr connecion from 10.0. 
1 台 。 90% Hug connecoon fiom 10.0 
0 connecion fiom 10.0- 


Ex A CR 加 
WN] -RP EM: 200806 70 20.55.48> RP 1E 0 ZAREEA. | 


4-125 查看 IDS 检测 的 安全 事件 信息 (1) 
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are es 1 lal 1 可 


649 2705548> 月 1 在 0 地 之 用人 ET 


图 4-126 查看 IDS 检测 的 安全 事件 信息 (2) 


RG-IDS 将 准确 检测 出 trojans_huigz: huigz_alert 以 及 trojans_glactcp: glac_tcp 事 
件 ,事件 详细 信息 如 图 4-127 和 图 4-128 所 示 。 


传感器 : ls6 风险 令 别 : 使 丰 险 
通讯 协议 :FFCP 行 ” 为 : 聊 击 
源 地 址 ; 0.0.3.91 7 1078 可 信和 度 : Ro% 
目的 地 址 : 10.0.3.9 /2513 数 目 : 人 


写 入 数据 库 保存 
发 送 SNMP Trap 
发 送 电子 邮件 通知 


发 送 响应 至 用 户 指定 应 用 程序 
发 送 响应 至 Checkpoint 防 火 墙 


入 全 检测 所 统 


图 4-127 事件 详细 信息 (1) 


【注意 事项 】 
本 实验 中 的 病毒 样本 只 能 用 于 实验 。 
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加 
CEE | sas | 

事件 名 称 : [eejans lectep lsc tcp 

时 间 : 21:56:59 

传感器 : li98 风 辽 级别: 使 吉本 

通讯 协议 :FFC 行 ”为 ; 县 击 

宕 地 址 : hi0.0.3.91 7 1053 可 信和 度 : BO% 


目的 地 址 : ”ji0.0.3.90 7 7626 要 目 : 人 


在 控制 台 上 显示 
写 入 数据 库 保存 
发 送 SNMP Trap 
发 送 电子 邮件 通知 


发 送 响 应 至 用 户 指定 应 用 程序 
口 伪 opsEC 发 过 啊 应 至 Checdpont 防 火 墙 


入 全 从 肖 系统 


图 4-128 事件 详细 信息 (2) 


413 ”蠕虫 病毒 传输 检测 


【实验 名 称 】 

蠕虫 病毒 传输 检测 。 

【实验 目的 】 

使 用 RG-IDS 对 蠕虫 病毒 传输 进行 检测 。 

【背景 描述 】 

某 网 络 中 的 PC 由 于 使 用 者 的 安全 意识 不 强 ,经 常 感染 蠕虫 病毒 ,导致 遭受 黑客 的 攻 
击 和 控制 。RG-IDS 能 及 时 检测 出 蠕虫 病毒 的 网 络 传输 行为 ,并 及 时 上 报到 控制 台 。 

【需求 分 析 】 

通过 RG-IDS 实时 检测 和 告警 ,可 以 使 管理 员 及 时 发 现 并 查 杀 病 毒 , 对 遭受 攻击 的 主 
机 进行 隔离 防御 和 维护 。 

【实验 拓扑 】 

如 图 129 所 示 的 网 络 拓扑 , 某 企业 网 络 管理 员 发 现 网 络 中 使 用 者 的 安全 意识 不 强 ， 
经 常 遭 受 黑客 的 DDoS 攻击 ,于 是 部 署 了 IDS 系统 对 DDoS 攻击 进行 检测 ,以 实现 网 络 的 


安全 防范 功能 。 
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攻击 主机 
10.0.3.131 
172.16.5.128 172.16.5.100 F02 
MGT ER MON 交换 机 
SS FO/1 (端口 镜像 ) 
RG-IDS 控制 台 RG-IDS F03 
站 10.0.3.179 
被 攻击 主机 


图 4-129 蠕虫 病毒 传输 检测 网 络 拓扑 图 


【实验 设备 】 

PC 3 台 

RG-IDS 1 台 

直 连 线 4 条 

交换 机 1 台 (支持 多 对 一 的 端口 镜像 ) 


攻击 软件 机 器 狗 和 ANI 蠕虫 病毒 样本 
攻击 主机 Microsoft Windows 操作 系统 
被 攻击 主机 JIS 或 者 Apache 等 Web 服务 器 均 可 


【预备 知识 】 


。 交换 机 端口 镜像 配置 。 
。 RG-IDS 配置 。 
。 病毒 样本 。 


【实验 原理 】 


机 器 狗 本 身 会 释放 出 一 个 pcihdd. sys 文件 到 drivers 目录 中 ,pcihdd. sys 是 一 个 底层 
硬盘 驱动 , 它 提 高 自己 的 优先 级 接替 还 原 卡 或 冰点 的 硬盘 驱动 ,然后 访问 指定 的 网 址 。 这 
些 网 址 只 要 连接 就 会 自动 下 载 大 量 的 病毒 与 恶意 插件 ,然后 修改 接管 启动 管理 器 ,还 会 通 
过 内 部 网 络 传播 , 当 一 台 主 机 被 感染 后 ,能 引发 整个 网 络 的 主机 全 部 自动 重启 。 

ANI 病毒 的 执行 原理 和 症状 : (1) 病 毒 的 作者 制作 恶意 ANI 文 件 ,使 其 能 下 载 其 他 
的 病毒 或 木马 程序 ; (2) 病 毒 制作 者 会 将 ANI 文件 更 名 为 jpeg、bmp、gif 等 常见 图 片 文件 
放 到 网 页 中 ; (3) 当 用 户 利用 下 浏览 器 访问 这 些 网 页 时 会 自动 将 该 ANI 文件 下 载 到 本 
地 ; (4)IE 浏览 器 在 打开 该 ANI 文 件 时 , 即 可 触发 漏洞 ,并 立即 下 载 和 执行 其 他 的 病毒 或 
木马 程序 。 
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【实验 步骤 】 
1 策略 编辑 


如 图 4-130 所 示 , 单 击 主 界面 上 的 “策略 ?按钮 ,切换 到 策略 编辑 器 界面 ,从 现 有 的 策 
略 模板 中 生成 一 个 新 的 策略 。 在 新 的 策略 中 选择 virus: pgz: pgz_viralbody 以 及 virus: 
anivirosomes:anivirus_viralbody 签名 ,并 将 策略 下 发 到 引擎 中 。 


per 
: pgz_yiralbody 


中 国外 ss 


图 4-130 策略 编辑 器 界面 


2 实施 攻击 
1) 机 器 狗 病 毒 


将 病毒 样本 和 test. html 文件 复制 到 被 攻击 主机 上 ,在 被 攻击 主机 上 开启 IIS 或 
Apache 服务 ,并 将 test. html 设 为 主页 。 


通过 网 络 中 的 另外 一 台 主 机 访问 被 攻击 主机 上 的 test. html 页 面 ,选择 “机 器 狗 测 
试 ”, 如 图 4-131 所 示 。 


En EECTECTIETEICT3 | 
| 5 CEE TY |] | 
me 人 
请 间 传输 测试 111 ' 
MR 
WS 
司 
er me 
EE EC SR SF 


图 4-131 选择 “机 器 狗 测试 ” 
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按照 对 话 框 的 提示 把 00023. exe 文件 下 载 到 本 地 ,如 图 4-132 所 示 。 


zs SA HY OY AD he 二 


EE TI | 
Sr er 


CE EC] 
3 


请 意 传 输 测 试 115 


图 4-132 下 载 文件 


2) ANI 病毒 

将 病毒 样本 和 test. html 文件 复制 到 被 攻击 主机 上 ,在 被 攻击 主机 上 开启 IS 或 
Apache 服务 ,并 将 test. html 设 为 主页 。 

通过 网 络 中 的 另外 一 台 主 机 访问 被 攻击 主机 上 的 test. html 页 面 ,选择 *ANI 测试 1” 
或 “ANI 测 试 2”, 如 图 4-133 所 示 。 


Ea 
Ia 
Cr 
El 

ne TT 
ha "Dm Je 外 


4-133 选择 “ANI 测 试 1 或 “ANI 测 试 2” 
在 本 地 打开 病毒 样本 文件 。 


3 查看 警报 
进入 RG-IDS 控制 台 ,通过 “安全 事件 ”组 件 查 看 IDS 检测 的 安全 事件 信息 ,如 
图 4-134 和 图 4-135 所 示 。 
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Es Ds Corsole 
i XH MEV) TAM Ph) 
oo | @ 

损 林寺 册 和 十 
SR 


国 VE les emer bodfilss genoral infe (l) 


高 风险 中 风险 低 凡 给 一 一 通知 
2008-06-06 安全 事件 风险 频率 统计 图 
辐 入 wap tityE) 
Oe iret 
EJ 加 
国 Blt >>> 
国 才 T0710 >>> 


|e re 


为 | 
198 BE。 0909， 1003131-> 1003179 
198 也 90 
30 00:: 198 现 员 90% 
@ rn porpg_ wabodr 20084610 00:2:6 158 WE 90 
1 | 加 
< 用 户 党 对 Nf : 2008.05-09 203548> 用 户 上 在 0 秒 之 内 没有 有 任何 失 作 ， 2 | 
图 4-134 查看 IDS 检测 的 安全 事件 信息 (1) 
EE 
a HD WEY) TROT) Wb) 
口 
| 吕 织 4 
1 


百 轨 vb sasaeo) 
5 @ irs ivireemsss ivirariralbey dl) 


2008-06-06 10-48:32 : 高 风险 =0 中 风险 =0 抵 风 险 =0 肖 知 = 
高 风险 中 风险 低 风 了 给 一 一 通知 
2008-06-06 安全 事件 风险 频率 统计 图 
1 人数 
. 
a 
a 
0 
Cr 
到 国 
图 Rt >>> 
图 二 ssToplcstit 四 >>> 
[CT 
实 全 事 年 到 
久 | 事 全 和 全 Cr] 加。 行为。 | 可 人 度 扩 太 
人 vns arurosomecan .2008-06-10 O41E 108 WE ope 100311-> i007 


EEA EL I ] 
加 了 交 < 用 当时 : 2008.06.09 20:55:48> 用 户 在 0 黎 之 内 机 有 任何 皖 作 ， 


4-135 查看 IDS 检测 的 安全 事件 信息 (2) 


昌 
EDIEESI 


RG-IDS 将 准确 检测 出 virus:pgz:pgz_viralbody 以 及 virus:anivirosomes:anivirus_ 
viralbody 事件 ,事件 详细 信息 如 图 4-136 和 图 4-137 所 示 。 
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图 4-137 事件 详细 信息 (2) 


【注意 事项 】 
本 实验 中 的 病毒 样本 只 能 用 于 实验 。 
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4.14 配置 IDS 与 防火 墙 联动 


【实验 名 称 】 
配置 IDS 与 防火 墙 联动 。 
【实验 目的 】 


掌握 RG-IDS 与 RG-WALL 防火 墙 联动 的 配置 方式 ,增强 对 攻击 阻 断 的 有 效 性 和 及 
时 性 。 


【背景 描述 】 
1DS 产品 与 防火 墙 产品 联动 ,能 对 恶意 攻击 和 流量 进行 实时 检测 和 防御 。 
【需求 分 析 】 


需求 : IDS 产品 只 能 单纯 地 检测 不 具备 防御 功能 ,防火 墙 只 能 对 3-4 层 数据 报 文 进行 
处 理 , 不 具备 深入 检测 功能 。 

分 析 : 通过 IDS 检测 并 将 检测 信息 传递 给 防火 墙 ,通过 防火 墙 对 攻击 的 地 址 和 端口 
进行 阻 断 等 措施 ,以 达到 实时 防御 的 目的 。 


【实验 拓扑 】 


如 图 4-138 所 示 的 网 络 拓扑 , 某 企业 网 络 管理 员 发 现 IDS 产品 只 能 单纯 地 检测 不 具 
备 防御 功能 ,防火 墙 只 能 对 3-4 层 数据 报 文 进行 处 理 , 不 具备 深入 检测 功能 ,于 是 部 署 了 
IDS 与 防火 墙 联动 系统 ,通过 IDS 检测 并 将 检测 信息 传递 给 防火 墙 ,通过 防火 墙 对 攻击 的 
地 址 和 端口 进行 阻 断 等 措施 ,达到 防御 的 目的 ,以 实现 网 络 的 安全 防范 功能 。 


攻击 主机 
172.16.5.127 
防火 墙 苇 
172.16.5.128 172.16.5.100 F022 
~ 交换 机 
(端口 镜像 ) 
RG-IDS 控 制 台 
172.16.5.125 


被 攻击 主机 
4-138 配置 IDS 与 防火 墙 联动 网 络 拓扑 图 
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【实验 设备 】 
PC 3 人 台 
防火 墙 1 台 
RG-IDS 1 台 
直 连 线 若干 条 


交换 机 ”1 台 ( 必 须 支持 多 对 一 的 端口 镜像 ) 
SecureCRT 软件 


【预备 知识 】 


。 RG-WALL 防火 墙 配置 基础 。 
。 交换 机 端口 镜像 配置 。 
。 RG-IDS 配置 基础 。 


【实验 原理 】 


入 侵 检 测 系统 在 捕捉 到 某 一 攻击 事件 后 , 按 策略 进行 检查 ,如 果 在 策略 中 对 该 攻 
击 事件 设置 了 防火 墙 阻 断 ,那么 人 侵 检 测 系统 就 会 发 给 防火 墙 一 个 相应 的 动态 阻 断 
策略 。 防 火 墙根 据 该 动态 策略 中 的 设置 进行 相应 的 阻 断 , 阻 断 的 时 间 、 阻 断 时 间 间 
隔 、 源 端口 .目的 端口 、 源 IP 和 目的 IP 等 信息 ,完全 依照 入 侵 检测 系统 发 出 的 动态 策 
略 来 执行 。 

在 本 实验 中 ,以 Ping-of-Death 签名 为 攻击 事件 ,在 没有 配置 为 联动 的 响应 方式 之 前 ， 
攻击 主机 能 够 向 被 攻击 主机 发 送 超大 字 节 的 ICMP 报 文 , 并 被 IDS 检测 到 。 实 施 
RG-IDS 与 RG-WALL 联动 后 ,IDS 首先 检测 到 Ping-of-Death 攻击 ,并 将 事件 的 信息 包 
括 源 、. 目 的 地 址 等 通过 SSH 通知 防火 墙 ,防火 墙根 据 IDS 发 送 的 攻击 事件 信息 自动 生成 
响应 规则 , 阻 断 攻击 源 和 目的 之 间 的 通信 。 


【实验 步骤 】 


1 配置 策略 

如 图 4-139 所 示 , 单 击 主 界面 上 的 “策略 ”按钮 ,切换 到 策略 编辑 器 界面 ,从 现 有 的 策 
略 模板 中 生成 一 个 新 的 策略 。 在 新 的 策略 中 选择 pingofdeath 签名 ,并 将 策略 并 下 发 到 引 
从 中 。 


2 超大 字 节 IQVP 报 文 攻击 测试 
攻击 主机 172. 16. 5. 127 向 目标 主机 172. 16. 5. 125 发 送 超 大 字 节 ICMP 报 文 ,如 
图 4-140 所 示 。 
通过 RG-IDS 控制 台 “ 安 全 事件 ”组 件 查看 IDS 检测 的 安全 事件 信息 ,pingofdeath 事 
件 上 报 数量 约 为 200 条 ,如 图 4-141 所 示 。 
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国 save mtea 人 
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图 4-139 IDS 策略 编辑 器 界面 
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图 4-140 超大 字 节 ICMP 报 文 攻击 测试 
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EE | 


| 安全 事件 妹 计 图 
2007-10-19 0 事件 个 数 : 高 风险 = 无 中 风险 = 无 低 风 险 = 无 通知 = 无 
高 风险 中 风险 作风 险 ”一 一 
2007-10-19 安全 事件 风险 频率 统计 图 
便 
0 
0 
oa 
Bo 00 om om 20 10 1m 2100 
3 
| 写 件 名称 大 感 器 行为 | 可 车 
全 cmonpnocfieath 弛 攻击 90% |17 
入 cmopnocfdeath 引 学 攻击 90% 17 
委 icmopingcfdeath 引 学 区 击 90% 1 
入 icmopingcfdeath 引 学 攻击 90% 1 
入 icmopingcfieath 引 学 区 击 90% 1 


图 4-141 查看 IDS 检测 的 安全 事件 信息 
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3 RGIDS 联动 文件 修改 
将 ECRunning. cfg 和 scrtemd. vbs 两 个 文件 复制 到 事件 收集 器 的 安装 目录 下 覆盖 原 
有 文件 ,如 图 4-142 所 示 。 


图 4-142 RG-IDS 联动 文件 修改 
ECRunning. cfg 和 scrtcmd. vbs 两 个 文件 需要 单独 获取 。 


4 配置 响应 参数 
在 RG-IDS 控制 台 的 “策略 "配置 界面 ,选择 “响应 参数 配置 "区 域 中 的 Global _ 
Settings 文件 ,在 “请 输入 响应 应 用 程序 的 名 称 ”文本 框 中 输入 ruijie, 如 图 4-143 所 示 。 


= 
mss 
ss 
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[不 需要 人 Sa 证 半 | 
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图 4-143 配置 响应 参数 


单 击 辑 大 交加 按钮 ,保存 修改 。 
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5 配置 联动 签名 的 响应 方式 
进入 策略 配置 界面 ,选择 需要 联动 的 签名 pingofdeath, 并 在 右 侧 响应 方式 中 选择 
DISPLAY、LOGDB 和 USER ,为 攻击 签名 选择 响应 方式 ,如 图 4-144 所 示 。 


EE | 


a 仿 导出 第 咯 E) 。 同 角 辽 六 镇定 (L) 四 保存 第 咯 (5) “、 祈 生 策略 (R) 和 XK 删除 第 中 (D0) 部 策 咯 更 名 (M) 
< test (用 户 自 定义 策略 ， 可 编辑 ) 

me | 
Oiseewity peeea 
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日 Veb Nateher 
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图 4-144 配置 联动 签名 的 响应 方式 


单 击 回 合生 回 按钮 ,保存 修改 。 
通过 RG-IDS 应 用 服务 管理 器 ,重新 启动 “事件 收集 服务 "“ 安 全 事件 响应 服务 ”和 
“IDS 数据 管理 服务 ”, 如 图 4-145 所 示 。 


服务 :|Tns 数据 管理 服务 可 
事 全 路 莱 服 


好 f 当局 动 0s 时 自动 启动 服务 &) 
二 ITS 要 据 管 理 服务 
4-145 启动 事件 收集 服务 


6 建立 防火 墙 SSH 连 接 
在 IDS 控制 台 PC 上 ,使 用 SecureCRT 工具 ,建立 名 为 ruijie 的 SSH 连接 ,使 用 该 连 
接 可 以 通过 SSH 登录 RG-WALL 防火 墙 ,如 图 4-146 所 示 。 
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Connect Session Options re 加 


名 习 | | Base 
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Xnoden/Znoden 


图 4-146 建立 防火 墙 SSH 连接 
通过 SSH 连接 登 
登录 成 功 后 退出 该 程序 。 


7. ICMP 攻 击 


录 防 火 墙 一 次 ,登录 过 程 中 要 选择 保存 证 书 , 用 户 名 和 密码 等 信息 ， 


攻击 主机 172. 16. 5. 127 向 目标 主机 172. 16. 5. 125 发 送 超大 字 节 ICMP 报 文 , 如 


图 4-147 所 示 。 


IC:\Docunents and Settings\Adninistrator ping 172.16.5.125 -1 65860 


Pinging 172.16.5.125 with 65988 bytes of data: 


byt 5888 tine=13ms 
65888 tine=iins 
65888 tine=iins 
65888 tine=lins 


2.16.5.1 
4. Re 
round trip ti in milli-s 
Mininun = 1ins, Maximnun = 13ms, A 


图 4-147 ICMP 攻击 


通过 RG-IDS 控制 台 “ 安 全 事件 ”组件 查看 IDS 检测 的 安全 事件 信息 ,pingofdeath 事 


件 上 报 数量 约 为 200 条 ,如 图 4-148 所 示 。 


8 发 送 IQVP 攻 击 报 文 
攻击 主机 172. 16. 5. 127 发 送 ICMP 报 文 失 败 , 如 图 4-149 所 示 。 


9 查看 防火 墙 状 态 


查看 防火 墙 规则 表 , 防 火 墙 写 入 规则 阻 断 了 攻击 主机 172. 16. 5. 127 到 目标 主机 


172. 16. 5. 125 的 所 有 通信 ,如 图 4-150 所 示 。 
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图 4-149 攻击 主机 发 送 ICMP 报 文 失败 
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图 4-150 
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查看 防火 墙 状态 
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安全 事件 列表 

| 事件 名称 仿 感 器 行为 可 . 车 
A imp 守 
访 cmopnocfdeath 引 潮 现 南 90% 17 
icmopngcfdeath 络 区 击 90% 5 
篇 cmopngciceath 引言 项 击 90% 17 
入 cmopngcfdeath 结 攻击 90% 17 

图 4-148 查看 IDS 检测 的 安全 事件 
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10 验证 测试 
攻击 主机 172. 16. 5. 27 连接 被 攻击 主机 172. 16. 5. 125 ,返回 信息 连接 失败 ,如 
图 4-151 所 示 。 


男 c:VWIIDOWS\zystea32Vcad_ exe 四 可 加 


图 4-151 验证 测试 信息 


证 明 攻 击 主机 172. 16. 5. 27 到 被 攻击 主机 172. 16. 5. 125 所 有 通信 被 阻 断 , RG-IDS 
与 RG-WALL 防火 墙 联动 成 功 。 


【注意 事项 】 

。 在 实施 联动 之 前 ,必须 通过 SSH 先 连 接 防 火 墙 ,并 保存 证 书 、 账 户 和 密码 。 

在 实验 过 程 中 ,请 注意 及 时 清理 安全 事件 列表 中 的 事件 信息 。 

防火 墙 不 具备 动态 规则 功能 ,因此 , 当 事 件 量 比较 大 时 会 产生 非常 多 的 访问 规则 ， 
这 些 规 则 只 能 手工 删除 ,过 多 的 规则 会 严重 影响 防火 墙 的 性 能 。 

本 实验 没有 给 出 RG-WALL 防火 墙 的 基本 配置 ,关于 RG-WALL 防火 墙 的 配置 ， 
请 参见 相关 的 实验 和 配置 文档 


415 ”使 用 自 定义 事件 进行 检测 


【实验 名 称 】 

使 用 自 定义 事件 进行 检测 。 

【实验 目的 】 

根据 网 络 的 实际 情况 自 定义 告警 事件 。 


【背景 


RG-IDS 出 广 时 的 签名 库 可 能 不 满足 检测 需求 ,所 以 管理 员 和 希望 根据 网 络 中 的 实际 
情况 进行 特定 的 检测 。 
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【需求 分 析 】 


管理 员 有 针对 性 地 把 某 些 受 关注 的 安全 事件 添加 到 特殊 事件 列表 中 ,从 而 大 大 提高 
工作 效率 。RG-IDS 出 厂 时 都 对 事件 检测 参数 提供 了 一 套 推荐 的 方案 ,但 每 个 网 络 环境 
实际 情况 都 不 一 样 ,管理 员 对 某 些 事件 的 参数 进行 相应 的 修改 、 优 化 ,可 使 RG-IDS 更 准 
确 地 告警 。 


【实验 拓扑 】 


如 图 4-152 所 示 的 网 络 拓扑 , 某 企 业 网 络 管理 员 发 现 网 络 中 使 用 RG-IDS 出 厂 时 的 
签名 库 可 能 不 满足 检测 需求 ,管理 员 和 希望 根据 网 络 中 的 实际 情况 进行 特定 的 检测 ,于 是 部 
署 了 IDS 系统 ,对 网 络 环境 实际 情况 某 些 事件 的 参数 进行 相应 的 修改 .优化 ,可 使 RG- 
IDS 更 准确 地 告警 ,以 实现 网 络 的 安全 防范 功能 。 


攻击 主机 


172.16.5.127 


172.16.5.128 172.16.5.100 


交换 机 
(端口 镜像 ) 


RG-IDS 控 制 台 RG-IDS 


四 172.16.5.125S 
站 攻击 主机 
图 4-152 自 定义 IDS 事 件 进行 检测 网 络 拓扑 图 


【实验 设备 】 

PC 3 台 

RG-IDS Sensor 1 台 

直 连 线 4 条 

交换 机 1 台 ( 支 持 多 对 一 的 端口 镜像 ) 
【预备 知识 】 

RG-IDS 配置 。 

【实验 原理 】 


事件 列表 窗口 类 似 于 告警 策略 列表 窗口 ,其 中 显示 用 户 ( 策 略 管理 员 ) 定 义 的 特殊 事 
件 组 。 策 略 管理 员 从 一 般 事件 攻击 签名 中 选择 对 用 户 监控 更 有 意义 的 特殊 事件 ,再 将 攻 
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击 签名 插入 到 特殊 事件 组 中 。 具 有 事件 查看 权限 的 安全 事件 查看 员 可 以 查看 特殊 事件 
列表 。 


【实验 步骤 】 


1 特殊 事件 应 用 

1) 添加 特殊 事件 签名 

如 图 4-153 所 示 ,进入 告警 策略 窗口 ,展开 * 一 般 事件 树 ”, 右 键 单 击 某 个 攻击 签名 ,在 
弹出 的 菜单 中 选择 “添加 到 特殊 事件 窗口 "命令 。 

在 弹出 的 对 话 框 中 输入 新 建 事件 组 的 名 称 , 如 图 4-154 所 示 。 


图 4-153 ”添加 特殊 事件 签名 图 4-154 输入 新 建 事 件 组 的 名 称 


单 击 “ 确 定 ” 按 钮 ,该 攻击 签名 将 出 现在 特殊 事件 窗口 中 。 

2) 特殊 事件 统计 配置 

进入 告警 策略 窗口 ,右键 单 击 "特殊 事件 树 ” 的 树 根 节点 (也 可 以 选中 某 个 Backend 或 
者 Package 节点 配置 ,这 样 响应 只 针对 该 节点 下 面 的 子 节点 生效 ) ,如 图 4-155 所 示 。 

在 弹出 的 菜单 中 选择 “事件 统计 整体 配置 ”命令 ,在 弹出 的 对 话 框 中 设置 统计 条 件 , 如 
图 4-156 所 示 。 


特殊 事件 绝 计 整 外 配置 
Fr 


"WW 厂 目的 IT 地址 


抗 HS 名 则 
SFE -e008): 
搞 寺 夫 允 时 后 0-24 小 时 ) : 尼 

注 : 点 击 “ 确 定 ” 格 也 置 作用 到 当前 节点 及 所 有 子 节点 。 


mw | 
图 4-155 特殊 事件 统计 配置 图 4-156 设置 统计 条 件 


单 击 “确定 ”按钮 ,特殊 事件 统计 整体 配置 就 完成 了 。 
3) 特殊 事件 查看 
特殊 事件 统计 配置 完成 后 , 当 收 到 特殊 事件 后 ,就 可 以 进入 “特殊 安全 事件 统计 列表 ” 
中 查看 统计 事件 。 
在 “事件 ”窗口 中 单 击 工具 栏 上 的 “特殊 事件 统计 ”按钮 。 事 件 详细 列表 窗口 由 3 部 分 
组 成 , 即 “ 特 殊 事件 列表 ”“ 特 殊 事 件 统计 ”和 “帮助 ”, 如 图 4-157 所 示 。 
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图 4-157 查看 特殊 事件 


2 事件 参数 的 配置 

1) 事件 背景 

某 局 域 网 内 架设 了 一 台 FTP 服务 器 ,该 服务 器 用 户 名 为 rjids, 密 码 为 2008, 由 于 该 
密码 安全 性 低 易 被 猪 解 ,管理 员 希 望 能 在 IDS 事件 告警 中 体现 出 来 。 

2) 用 户 登 录 FTP 

该 用 户 登录 FTP, 在 默认 情形 下 RG-IDS 无 告警 ,如 图 4-158 和 图 4-159 所 示 。 


上 1 网 pe Row 4 
图 4-158 用 户 登 录 FTP 


ws 170 w= 
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图 4-159 用 户 登 录 FTP 默认 情形 下 RG-IDS 无 告警 


3) 修改 事件 参数 
单 击 殴 国 扩 锯 ,找到 正在 使 用 的 策略 下 的 authentication :authentication 节点 ,如 
图 4-160 所 示 。 


回 忽 badleneth 
回 物 bipassva eS 


图 4-160 修改 事件 参数 (1) 


单 击 四 叫 遇 证 加 “| 按钮 ,对 authentication:authentication 下 的 BAD_PASSWORD_ 
LIST 参数 进行 修改 ,如 图 4-161 所 示 。 


| 


把 不 安全 的 密码 *2008”( 注 意 必须 把 两 端的 引号 也 添加 上 ) 添 加 到 列表 中 ,如 图 4-162 
所 示 。 


4-161 修改 事件 参数 (2) 


加 
名 称 : ED PASSTONDLIIST 
关 型 : [er 取消 


职 值 :〈 双击 列表 项 进行 编辑 ) EE 


图 4-162 添加 不 安全 的 密码 
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单 击 “ 确 定 ” 按 


钮 ,保存 并 重新 应 用 策略 。 


4) 验证 事件 参数 修改 
再 次 使 用 该 账号 .密码 登录 FTP,RG-IDS 产生 告警 ,如 图 4-163 和 图 4-164 所 示 。 
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图 4-163 ”验证 事件 参数 修改 (1) 
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图 4-164 验证 事件 参数 修改 (2) 
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量 ， 


【实验 名 称 】 

告警 事件 风暴 抑制 管理 。 

【实验 目的 】 

通过 本 实验 熟悉 产品 的 操作 ,减少 系统 资源 的 消耗 ,对 系统 进行 优化 。 

【背景 描述 】 

某 管 理 员 通过 系统 的 事件 归并 以 及 洪波 抑制 配置 ,从 而 减少 同一 安全 事件 上 报 的 数 


达到 优化 系统 的 目的 。 


【需求 分 析 】 
短 时 间 内 某 些 安全 告警 事件 大 量 上 报 ,对 系统 资源 造成 极 大 的 损耗 。 管 理 员 通过 系 


统 的 事件 归并 以 及 洪波 抑制 配置 ,达到 优化 系统 的 目的 。 


【实验 拓扑 】 
如 图 4-165 所 示 的 网 络 拓扑 , 某 企业 网 络 管理 员 发 现 短 时 间 内 某 些 安全 告警 事件 大 


量 上 报 , 对 系统 资源 造成 极 大 的 损耗 。 因 此 ,希望 通过 系统 的 事件 归并 以 及 洪波 抑制 配 
置 ,从 而 减少 同一 安全 事件 上 报 的 数量 ,达到 优化 系统 的 目的 ,于 是 部 署 了 IDS 系统 , 配 
置 告警 事件 风暴 抑制 管理 ,实现 减少 系统 资源 的 消耗 ,对 系统 进行 优化 。 


攻击 主机 
172.16.5.127 
172.16.5.128 172.16.5.100 E012 
交换 机 
(端口 镜像 ) 
RG-IDS 控 制 台 RG-IDS 
| 172.16.5.125 


六 攻击 主机 
图 4-165 ”IDS 告警 事件 风暴 抑制 管理 网 络 拓扑 图 
【实验 设备 】 
PC 3 台 
RG-IDS Sensor 1 台 
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直 连 线 4 条 
交换 机 1 台 ( 支 持 多 对 一 的 端口 镜像 ) 


【预备 知识 】 


RG-IDS 配置 。 


【实验 原理 】 


事件 归并 配置 : 事件 归并 的 整体 配置 是 指针 对 所 有 安全 事件 签名 设置 一 种 默认 的 归 
并 策略 ,这 个 归并 策略 将 会 作用 在 每 一 个 传感器 上 ,也 就 是 说 来 自 不 同 传感器 的 告警 将 不 
会 被 归并 在 一 起 。 一 旦 开启 这 个 功能 ,所 有 事件 的 默认 归并 策略 即 是 该 策略 ,但 是 即便 用 
户 开启 了 整体 归并 策略 ,也 可 以 对 每 一 个 安全 事件 签名 在 “事件 归并 ”设置 中 逐一 修改 归 
并 策略 。 因 此 ,该 功能 事实 上 是 对 没有 设置 归并 策略 的 告警 的 整体 配置 。 事 件 归并 策略 
的 内 容 包括 : 是 否 启用 事件 归并 ,默认 按照 事件 名 称 归并 (不 可 更 改 ) ,然后 可 以 按照 事件 
的 源 、 目 的 地 址 和 端口 归并 。 事 件 归并 个 别 配 置 指 对 于 某 一 个 或 某 几 个 攻击 签名 以 及 某 
一 类 攻击 签名 单独 配置 ,系统 只 针对 个 别 攻击 签名 进行 归并 。 

洪波 抑制 : 洪波 抑制 功能 是 指 ,如 果 短 时 间 内 大 量 相同 的 告警 信息 被 发 送 给 管理 控 
制 台 ,影响 了 用 户 对 网 络 事件 的 分 析 , 可 以 在 洪波 抑制 界面 设置 洪波 抑制 功能 ,以 防止 短 
时 间 内 产生 大 量 相同 的 告警 。 


【实验 步骤 】 


1 事件 归并 配置 

1) 事件 归并 整体 配置 

如 图 4-166 所 示 , 进入 “告警 策略 ”窗口 。 右 键 单 击 “ 一 般 事件 树 ” 的 树 根 节点 
packages( 也 可 以 选中 某 个 Backend 或 者 Package 节点 配置 ,这 样 响应 只 针对 该 节点 下 面 
的 子 节点 生效 )。 

在 弹出 的 菜单 中 选择 “事件 归并 整体 配置 ”命令 。 在 弹出 的 对 话 框 中 色 选 “启用 事件 
归并 (对 事件 名 称 进行 归并 )” 复 选 框 ,然后 设置 归并 条 件 , 如 图 4-167 所 示 。 


IEEEEETE | 


注 : 点 击 “确定” 将 配置 作用 到 当前 节点 及 所 有 子 节点 。 


Ce |] ww | 


图 4-166 事件 归并 整体 配置 图 4-167 启用 事件 归并 
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单 击 “ 确 定 ” 按 钮 ,事件 归并 整体 配置 就 完成 了 。 

2) 事件 归并 个 别 配置 

进入 “告警 策略 ”窗口 。 展 开 “ 一 般 事件 树 ”, 选 中 某 一 个 攻击 签名 ,在 右 侧 的 “事件 归 
并 ?窗口 中 设置 归并 条 件 ,如 图 4-168 所 示 。 


日 alet eyent 屋 


图 4-168 事件 归并 个 别 配 置 


2 验证 事件 归并 配置 

1) 归并 前 后 的 事件 信息 

归并 结果 在 表达 上 与 非 归 并 事件 有 一 些 细节 差别 。 下 面 以 iemp: pingofdeath: 
pingofdeath_alert 事件 为 例 进行 说 明 。 首 先 看 看 该 事件 的 归并 策略 配置 ,如 图 4-169 所 示 。 


alert event 


图 4-169 ”归并 前 后 的 事件 信息 


从 图 4-169 中 可 以 看 到 为 iemp:pingofdeath:pingofdeath_alert 事件 配置 的 归并 参数 
为 “把 来 自 相 同 的 源 IP、 源 端口 的 同类 事件 划分 为 一 组 ”。 过 滤 条 件 是 “ 当 队 列 深度 达到 
20 时 则 触发 归并 产生 结果 ”。 归 并 前 后 事件 的 详细 信息 在 窗口 中 会 有 明显 差异 。 

icmp:pingofdeath:pingofdeath_alert 归并 前 的 事件 详细 信息 (在 事件 窗口 双击 事件 ) 
如 图 4-170 和 图 4-171 所 示 。 


mm 7 mm 


网 络 安全 防御 技术 实践 教程 。 mm 
区 加 Pp 
A iamp:pmgofdeath | 20080.. 击 。 90% | 10.0.3.170 


全 amp:pngofdeath 200870.. 90% 
入 lamp:pngofdeath 20080. 903 
入 iamp:pngofdeath 20084， 90% 
入 amp:pngofdeath 200870. 90% 

90% 


我 lamp:pngofdeath 20( 


图 4-170 归并 前 的 事件 详细 信息 (1) 


。 CMP 。 10.0.3.170 


随机 请 口 10.0.3.67 


Ee :| 
CE | pers | 
事件 名 称 : fenp:pineofdesth 
时 间 : 82008-06-13 10:34:49 
传 届 器 网 BS 别 : 和 PR 了 
:| 
源 地 址 : ”0.0.3.170 /随机 营口 可 信和 度 : Bo% 
ITUOSGEI TFT 数 目 : 下 


A 入 作风 玉 系 过 


图 4-171 


针对 icmp: pingofdeath: pingofdeath_alert 归并 后 的 详细 信息 (在 事件 窗口 双击 事 


件 ) ,如 图 4-172 和 图 4-173 所 示 。 


发 送 响 应 至 用 户 指定 应 用 程序 
发 送 啊 应 至 Checkpoint 防 火 墙 


归并 前 的 事件 详细 信息 (2) 


口 
随机 端口 
随机 请 口 
随机 端口 
随机 请 口 
随机 请 口 
随机 端口 


史 | 事件 名 各 | 时 间 | 其 感 器 | 行为 | 可-.。 | 搓 述 通 且 | 潭 峭 口 | 目标 人 | 目标 包 口 | 数目 | 
昌 amp:pnmgofdeath 2008-0.. 攻击 ”903% 10.0.3.67 随机 端口 随机 JP 随机 端口 12 
态 emp:pngofdeath 200840， 下 击 90% 10.0.3.170 随机 庙 口 随机 人 随机 忽 口 15 
全 mp:pngofdeath 20080. 攻击 90% 10.0.3.170 随机 端口 10.0.3.67 随机 端口 1 
和 amp:pngofdeath 90% 随机 端口 随机 Jp 随机 端口 20 
A lamp:pingofdeath 90% 随机 编 口 10.0.3.67 随机 纲 口 ] 
也 eath 90% 随机 端口 随机 P 随机 消 口 20 


由 于 在 定义 归并 策略 时 没有 选择 “对 目的 IP 地 址 和 目的 端口 进行 归并 ”, 因 此 ,同一 
分 组 中 的 事件 可 能 是 去 往 不 同 目的 IP 和 不 同 的 目的 端口 ,为 了 避免 歧义 ,在 归并 结果 中 
目的 地 址 和 目的 端口 的 统计 信息 被 0.0.0.0 和 0 蔡 代 。 同 时 例如 LogDB 与 防火 墙 互 动 
等 响应 方式 也 不 会 出 现在 归并 的 结果 中 。 


2) 归并 前 事件 显示 


启动 “事件 归并 ”功能 前 ,所 有 事件 全 部 罗列 在 事件 窗口 中 , 当 事 件 风暴 发 生 时 ,会 对 


图 4-172 归并 后 的 详细 信息 (1) 


系统 带 来 很 大 的 压力 ,并 会 很 快 取缔 其 他 告警 信息 。 


3) 归并 后 事件 显示 


根据 上 面 对 icmp:pingofdeath:pingofdeath_alert 设置 归并 参数 后 ,启动 “事件 归并 ” 
功能 ,20 条 事件 类 型 相同 的 告警 事件 将 被 归并 为 一 条 事件 ,从 而 大 大 降低 事件 风暴 对 系 
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一 般 信 息 | 详细 信息 | 
事件 名 称 : cap:pingofaeath 

时 间 : 2008-06-13 10:49:50 

传导 器 : | 人 “一 TT 


源 地 址 : mr 2 各 
: 数 日 : 队 


DLE 确定 取消 | 


4-173 ”归并 后 的 详细 信息 (2) 


统 的 冲击 。 图 4-174 显示 的 事件 数量 为 12, 因 为 在 “事件 过 滤 条 件 ” 中 默认 归并 事件 时 间 
深度 为 10 秒 。 当 第 一 条 事件 产生 后 ,10 秒 内 系统 没有 收 到 20 条 以 上 的 事件 , 故 系 统 将 
已 收 到 的 事件 (12 条 ) 归 并 为 一 条 事件 。 另 外 , 当 某 一 事件 第 一 次 出 现 ( 或 归并 计数 器 复 
位 ) ,系统 会 立即 将 该 事件 提交 并 出 现在 事件 窗口 中 ,这 样 做 的 目的 是 消除 事件 归并 对 系 
统 实时 性 的 影响 ,如 图 4-174 所 示 。 


?| 事件 名 和 | 时 间 lf I Ls a | 源 也 | 涯 汕 口 “| 目标 他 | 旧 标 六 口 | 数目 | 
坊 mp:pngofdeath 20080… ee 10.0.3.67 随机 请 口 随机 Jp 随机 嫁 口 12 
惫 amp:pngofdeath 20080… 盔 0% 10.0.3.170 随机 端口 随机 随机 靖 口 15 
篇 iamp:pngofdeath 2008-0..。 Sen..。 攻击 903% 10.0.3.170 随机 端口 10.0.3.67 随机 锁 口 1 
筷 mp:pngofdeath 20080..， Sen.,， 攻击 90% 10.0.3.170 随机 端口 随机 随机 铺 口 “20 


全 amp:pngofdeath 20080.。 Sen..。 攻击 “903% 


10.0.3.170 随机 端口 10.0.3.67 随机 纲 口 1 
访 amp:pngofdeath 20080..， Sen..， 攻 击 “90% 
Be ont Aann A Foor 


10.0.3.170。。 租 机 入 口 随机 随机 篆 口 ”20 


图 4-174 有 并 后 事件 的 显示 


3 洪波 抑制 配置 

1) 策略 编辑 

单 击 RG-IDS 控制 台 主 界面 上 的 “策略 ”按钮 ,切换 到 策略 编辑 器 界面 ,选择 attack: 
flood:flood_alert 以 及 attack:flood: progress_alert 签名 ,如 图 4-175 所 示 。 

2) 参数 配置 

根据 实际 情况 对 attack:flood 下 的 参数 进行 配置 ,如 图 4-176 所 示 。 


二 衣 : 
| i se 独 
LE EE 

图 4-175 IDS 控制 台 策略 编辑 器 界面 图 4-176 配置 参数 


Wz 
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注意 : 本 实验 所 涉及 的 参数 具体 含义 可 参考 相 有 ERENIEKREE 
关 的 签名 帮助 文件 。 nd 
由 Om fragale (4) 
4 验证 洪波 抑制 配置 
以 icmp: pingofdeath: pingofdeath_alert 为 例 ， 
洪波 抑制 开启 前 的 告警 信息 ,如 图 4-177 所 示 。 


洪波 抑制 开启 后 的 告警 信息 ,如 图 4-178 和 图 4-179 所 示 。 


图 4-177 洪波 抑制 开启 前 的 告警 信息 


aly 
ax 
a 
贪 件 有 P| 关于 ba 
二 
Mi 数 : =0 中 风险 = JETTD 
高 BR 入 中 有 R 险 任 R 了 ”一 一 通知 


2008-06-10 安全 事件 风险 频率 统计 图 


Gare, a la ] 加 
6.0610 1422391> 周 户 1 在 0 外 过 太 夺 再 共同 斤 作 ， LE IE 


图 4-178 洪波 抑制 开启 后 的 告警 信息 (1) 


传感器 : gensor_198 风险 妇 别 : 六 有 了 
通讯 协议 :WA 行 为 : 

源 地 址 : ” 陋 机 IF 7 随机 靖 吕 可 信和 度 : ROY 

目的 地 址 : 。 陋 机 IF 7 随机 靖 品 数 

描述 


essed Flood of 108274 icnp pingotdeuth: pineotdeath dlert alerts 
in 26 ninutes 53 seconds 


入 全 检测 系 关 


图 4-179 洪波 抑制 开启 后 的 告警 信息 (2) 
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【注意 事项 】 


事件 归并 针对 的 是 从 传感器 发 送 到 事件 收集 器 的 事件 ,而 洪波 抑制 针对 的 是 从 事件 
收集 器 发 送 到 管理 控制 台 的 告警 事件 。 


417 ”事件 响应 方式 管理 


【实验 名 称 】 
事件 响应 方式 管理 。 


【实验 目的 】 

通过 本 实验 熟悉 产品 的 操作 ,熟悉 对 上 报 的 安全 事件 的 响应 方式 的 处 理 。 

【背景 描述 】 

某 管理 员 通过 配置 事件 响应 参数 , 当 告 警 事件 出 现时 ,RG-IDS 会 对 此 进行 一 系列 的 
处 理 ,如 向 管理 员 的 邮箱 发 送 事件 警告 等 ,使 管理 员 能 及 时 处 理 该 突 发 事件 。 

【需求 分 析 】 


当 一 些 突 发 的 安全 事件 发 生 时 ,RG-IDS 会 对 告警 做 一 系列 的 响应 处 理 ,如 默认 的 
“在 控制 台 上 显示 ”“ 写 入 数据 库 保 存 ” 以 及 “发 送 SNMP Trap”" 发 送 电子 邮件 通知 ”等 ， 
能 及 时 地 通知 管理 员 。 


【实验 拓扑 】 
如 图 4-180 所 示 的 网 络 拓扑 , 某 企业 网 络 管理 员 发 现 通过 配置 事件 响应 参数 , 当 告 警 
攻击 主机 
10.03.84 
172.16.5.128 172.165.100 Fo2 


交换 机 
(端口 镜像 ) 


RG-IDS 控 制 台 RG-IDS 
中 10.0.3.170 

被 攻击 主机 
图 4-180 IDS 事件 响应 方式 管理 拓扑 图 
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事件 出 现时 ,RG-IDS 会 对 此 进行 一 系列 的 处 理 ,如 向 管理 员 的 邮箱 发 送 事件 警告 等 ,使 
管理 员 能 及 时 处 理 该 突 发 事件 ,于 是 部 署 了 IDS 系统 进行 检测 ,加 强 对 上 报 的 安全 事件 


的 响应 方式 的 处 理 防 范 功能 。 
【实验 设备 】 
有 3 台 
RG-IDS Sensor 1 台 
直 连 线 4 条 
交换 机 1 台 ( 支 持 多 对 一 的 端口 镜像 ) 
【预备 知识 】 
RG-IDS 配置 。 
【实验 原理 】 


在 监测 到 安全 事件 后 ,系统 管理 平台 可 以 根据 所 配置 的 策略 进行 以 下 响应 : 
。 将 检测 的 事件 显示 在 控制 台 上 。 

。 将 检测 的 事件 记录 在 数据 库 中 。 

。 发 送 snmptrap。 

。 在 检测 到 特定 事件 时 ,通过 电子 邮件 通知 管理 员 。 

。 在 检测 到 特定 事件 时 ,运行 用 户 指定 的 程序 。 


【实验 步骤 】 


1 响应 参数 设置 
在 响应 参数 设置 窗口 的 左边 是 响应 参数 设置 模板 区 域 ,响应 参数 设置 模板 类 似 告警 


策略 模板 。 


在 此 区 域 可 以 对 SMTP、SNMP 等 参数 进行 设置 。 本 实验 采取 通过 电子 邮件 通知 管 


理 员 的 响应 策略 ,相关 设置 如 图 4-181 所 示 。 


2 事件 响应 个 别 配置 
个 别 配置 是 指 对 于 某 一 个 或 某 几 个 攻击 签名 以 及 某 一 类 攻击 签名 单独 进行 配置 , 系 


统 只 针对 个 别 攻击 签名 进行 响应 。 事 件 响应 个 别 配 置 的 步骤 如 下 : 


(1) 进入 “告警 策略 ”窗口 ,如 图 4-182 所 示 。 
(2) 展开 “一 般 事件 树 ”( 对 “特殊 事件 树 ” 的 操作 与 "一般 事 件 树 ” 相 同 )。 
(3) 选中 某 一 个 攻击 签名 ,在 右 侧 的 响应 窗口 中 选择 响应 方式 (本 实验 以 icemp: 


pingofdeath:pingofdeath_alert 为 例 ) 。 
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保存 策略 并 重新 应 用 到 传感器 。 
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图 4-182 事件 响应 个 别 配置 


3 验证 事件 响应 配置 
以 iemp:pingofdeath:pingofdeath_alert 为 例 , 触 发 攻击 后 ,事件 上 报到 控制 台 并 给 管 
理 员 发 出 通知 邮件 ,如 图 4-183 和 图 4-184 所 示 。 


【注意 事项 】 


除了 对 某 个 告警 事件 响应 进行 个 别 配置 外 ,也 可 以 对 事件 响应 作 整 体 配置 ,具体 步 又 
如 下 : 
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i EY) IROD 人 WD -nx 
了 弧 表 查询 第 喇 让 全 天 于 = 
三 志 事件 美 天 扣 ) 
20080611 01:05:57 =0 = 多 风 险 =0 通知 =3 
高 民 险 中 风险 低 风 给 一 一 一 通知 
2008-06-11 安全 事件 风险 频率 统计 图 
国 


全 mopngordeam 
入 mopeofdeath 
生 empppgordezm 
全 mompgofdeath 


EC A EC RN 站 East 
0511 05:0447> 玫 户 ! 在 0 也 之 内江 有 任 条 折 作 。 


图 4-183 验证 事件 响应 配置 (1) 


日 期 : 
主题 : RG1D5 省 名 2006-06-11 164354]: emp:pngofdeatn 
昔 才 的 用 户 ， 您 好 : 


这 是 锐 挤 网 络 RG-IDS 的 告警 邮件 。 


此 警 时 间 ， 2008-06-11 16:43:54 
告警 名 称 ，icmp:pingofdesth 

传感器 Sensor 10.0.3.198) 

:IP() 

10.0.3,34/0 
0.0. 3. 170/0 
+ LOGDB. DISPLAY IATL; 
严重 级 别 : 中 
告 区 类型， 攻击 
告警 描述 : 10. 0. 3. 84 -》10.0. 3.170 ping of ceath: 193656 bytes 


ALER1_INPACT: denial of service 


170 -> 255.255.255.255 :ff 


> 255.255.255.255 :fa 
0.0.3.83 png of deat 
-> 10.03.84 phg of deat 
> 10.0.3.84 phg of deat 
> 10.0.3.84 prg of deat 


> 10.0.3.84 pg of deat 


10014 nnn nf frat 


[= ss eal 


图 4-184 验证 事件 响应 配置 (2) 


(1) 进入 “告警 策略 ”窗口 ,如 图 4-185 所 示 。 


(2) 右键 单 击 “ 一 般 事件 树 ” 的 树 根 节点 packages( 也 可 以 选中 某 个 Backend 或 者 
Package 节点 配置 ,这 样 响应 只 针对 该 节点 下 面 的 子 节点 生效 ;对 “特殊 事件 树 ” 的 操作 与 


“一 般 事件 树 ” 相 同 ) 。 
(3) 在 弹出 的 菜单 中 选择 “事件 响应 整体 配置 "命令 。 
(4) 在 弹出 的 窗口 中 选中 需要 的 响应 方式 ,如 图 4-186 所 示 。 
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可 
中 应 : 
加 器 DisPtaY 在 控制 台 上 明示 
ow 写 入 数据 库 保存 
口 旬 zw 发 送 SNMP Trap 
OOmn 发 送 电子 包 件 通知 
OD Buser 发 送 响应 至 用 户 指定 应 用 程序 
口味 opsEc 发 送 响应 至 checkpoint 防 火 墙 
‘OPSEC- 
| 量 p> 局 
注 : 点 击 “ 确 定 ” 将 配置 作用 到 当前 节点 及 所 有 子 节点 。 
a CE wm | 
图 4-185 配置 告警 策略 图 4-186 选中 需要 的 响应 方式 


4.18 RG-IDS 报表 管理 


【实验 名 称 】 

RG-IDS 报表 管理 。 

【实验 目的 】 

掌握 报表 工具 的 管理 与 使 用 。 

【背景 描述 】 

某 用 户 根据 实际 网 络 环境 进行 报表 管理 器 的 配置 管理 。 
【需求 分 析 】 

用 户 需 要 使 用 报表 查看 工具 ,对 报表 进行 查看 和 管理 。 
【实验 拓扑 】 


如 图 4-187 所 示 的 网 络 拓扑 , 某 企业 网 络 管 。 RG-IDS 控 制 台 、 时 间 收 集 器 、 日 志 服务 器 
理 员 根据 实际 网 络 环境 进行 报表 管理 器 的 配置 下 


管理 ,于 是 部 署 了 1DS 系统 进行 检测 ,实现 报表 S| 
查看 工具 对 报表 进行 查看 和 管理 功能 。 
【 实 验 设 备 】 Management mm 


PC 1 台 > 
RG-IDS Sensor 1 台 
直 连 线 1 条 4-187 ”RG-IDS 报表 管理 网 络 拓扑 图 
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【预备 知识 】 
RG-IDS 配置 。 
【实验 原理 】 


Report 子 系统 作为 RG-IDS 系统 的 一 个 独立 的 部 分 ,主要 完成 从 数据 服务 器 提取 数 
据 进行 显示 的 功能 。 


【实验 步骤 】 
1 登录 报表 管理 器 


单 击 | 局 | 耽 钮 ,进入 登录 报表 管理 器 界面 。 输 入 相应 的 账号 ,密码 (前 提 是 该 账号 拥 
有 报表 管理 权限 ) 以 及 事件 收集 器 和 数据 服务 器 的 IP 地 址 ,如 图 4-188 所 示 。 


CE 
统 后 入 优 检测 系统 


7001 | 
Er 


退 d | > | 


图 4-188 登录 报表 管理 器 界面 
登录 成 功 后 如 图 4-189 所 示 。 


AE) Se) Imao) IAU) WA) 
;942 国 国 20 .0 :rm ra en 
Mm 
3 
RO-IDS™ Report 
ae 
CT 忆 | 
Bip//wee ne om nl BE 一] 


图 4-189 成功 登录 报表 管理 器 
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2 报表 查看 

依次 选择 报表 工作 区 中 的 “报表 ”>“ 安 全 事件 报表 ”>“ 告 警 类 别 统计 ”>“ 周 告警 类 
别 统计 ?选项 ,在 报表 显示 区 内 显示 * 告 警 类 别 一 周 统计 信息 ”的 柱状 图 和 饼 状 图 ,如 
图 4-190 所 示 。 


报表 匀称 : 周 千村 奏 到 旺 计 
Le 开始 时 间 : 2008-06-01 00: 00: 00 
效 苇 交 络 RG-IDS 外 来 时 间 : 2008-06-10 23: 59: 59 


产生 时 间 ; 2008-6-10 7;35;54 


加 攻击 1,973 7.2% 
回 记 录 。 610 2.2% 
口 未 知 24,979 90.6% 

Total: 27,562 100.0% 


图 4-190 查看 报表 


3 导出 报表 

选择 报表 主 窗 口 “文件 ”导出 报表 ?选项 ,在 弹出 的 窗口 中 选择 保存 路 径 , 输 入 保存 
名 称 ,选择 保存 格式 (可 以 保存 为 4 种 格式 ,如 %. rpt”、“. txt"“. html” 和 ”. rtf”) ,如 
图 4-191 所 示 。 
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钨 20070812_144010 01:) 


文件 名 名 :|deno 保存 G) | 
保存 类 型 jj [Report Files (rpt) S| 取消 | 
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图 4-191 导出 报表 文件 


【注意 事项 】 


如 果 登 录 报表 管理 器 提示 超时 ,有 可 能 是 由 于 个 人 防火 墙 的 配置 造成 的 ,请 正确 配置 
防火 墙 。 


4.19 RG-IDS 数据 库 管 理 


【实验 名 称 】 

RG-IDS 数据 库 管 理 。 

【实验 目的 】 

使 用 查询 工具 熟悉 事件 查询 的 方式 ,并 对 数据 库 进行 管理 和 维护 。 

【背景 描述 】 

某 管理 员 需 要 对 数据 库 进 行 管理 .查询 以 及 数据 库 备 份 .恢复 .导出 .同步 等 操作 。 
【需求 分 析 】 


RG-IDS 的 安全 、 审 计 、 统 计 、 系 统 事件 都 存放 在 数据 库 中 ,并 且 提 供 了 一 整套 强大 的 
工具 ,以 便 管理 员 对 数据 库 进 行 管理 .查询 以 及 RG-IDS 控 制 台 、 时 间 收 集 器 、 日 志 服 务 器 
数据 库 备份 ,恢复 、 导 出、 同步 等 操作 。 可 


【实验 拓扑 】 S| 
如 图 4-192 所 示 的 网 络 拓 扑 , 某 企业 网 络 管 Management 


理 员 需 要 对 数据 库 进 行 管理 、 查 询 以 及 数据 库 备 
份 .恢复 、 导 出、 同步 等 操作 ,于 是 部 署 了 IDS 系 


统 , 使 用 查询 工具 熟悉 事件 查询 的 方式 .并 对 数 
据 库 进 行 管理 和 维护 。 4-192 RG-IDS 数据 库 管 理 网 络 拓扑 图 
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【实验 设备 】 

BPE 1 台 
RG-IDS Sensor 1 和 台 
直 连 线 1 条 


【预备 知识 】 

RG-IDS 基本 配置 。 

【实验 原理 】 

通过 查询 工具 对 数据 库 进行 查询 ,并 使 用 数据 库 维护 工具 对 数据 库 进行 维护 和 管理 。 
【实验 步骤 】 


1 数据 的 管理 和 查询 

1) 登录 查询 工具 管理 器 

单 击 [ 台 | 护 钮 ,进入 查询 工具 管理 器 登录 界面 ,输入 相应 的 账号 、 密 码 (前 提 是 该 几 
号 拥有 数据 查询 权限 ) 以 及 事件 收集 器 的 IP 地 址 ,如 图 4-193 所 示 。 


ER > 


RG -1DS 


结 捷 入 侵 粒 测 系 统 


: [zr. 0.0.1 7| 
账号 : [est 
密码 : | 


| 三 > 


图 4-193 登录 查询 工具 管理 器 界面 


登录 成 功 ,界面 如 图 4-194 所 示 。 
2) 添加 日 志 服 务 器 
单 击 虽 按钮 ,添加 日 志 服 务 器 ,如 图 4-195 所 示 。 
添加 成 功 后 如 图 4-196 所 示 。 
3) 添加 查询 
设置 相应 的 查询 条 件 , 如 图 4-197 所 示 。 
单 击 “ 条 件 预览 ”按钮 ,确认 查询 条 件 无 误 后 单 击 “ 确 定 ” 按 钮 ,如 图 4-198 所 示 。 
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4-194 成 功 登录 查询 工具 管理 器 


添加 日 志 服 务 器 


一 国 127.0.0.1:3003 


图 4-195 添加 日 志 服 务 器 图 4-196 成 功 添加 日 志 服 务 器 


+2008-06-09 00:00:00 到 2008-06-10 00:00:00 


图 4-197 相应 的 查询 条 件 图 4-198 确认 查询 条 件 


查询 工具 窗口 右上 方 是 查询 结果 的 摘要 显示 。 用 户 在 日 志 服 务 器 树 上 选择 不 同 节 
点 ,右边 列表 会 随 之 修改 ,而 用 户 在 摘要 窗口 选择 事件 , 它 的 详细 信息 列表 会 在 右 下 窗口 
显示 ,完全 相同 的 详细 信息 会 被 归并 为 一 条 ,并 以 “事件 产生 时 间 ( 个 数 )” 的 形式 显示 每 一 
条 详细 信息 的 名 称 ,如 图 4-199 所 示 。 
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究 | 事件 名 称 | 时间 | 描述 | 通 ..。 | 源 I? 1 短 滴 口 “| 目的 IF 上 
国 badfiles_common:badf .. 2008-06-09 23:5,,, File Parsing - WIICE: TTI2 WA 随机 IF 其 机 端口 随机 IF 
badfiles_ comnon:badf. .. 2008-06-09 22:4... File Parsing : IOTICE: WI2 ... WA 随机 IF 随机 请 口 随机 IF 


图 4-199 查询 结果 的 摘要 显示 


查询 工具 窗口 右 下 方 是 查询 结果 信息 ,如 图 4-200 所 示 。 


ee I icap:pingofdeath 2008-06-09 21:4... 10.0.3.90 -> 10 
tpitep ren) | icap:pingofdeath 2008-06-09 21;4.., 10.0.3.90 -> 10 
je 

国 badfiles_conmon:b 


A dhep:badclient (25 名 称 
人 nsrpe_ns05007 .nse 日 所 ETIRTIIEINTITI 


全 nsrpe_ns0401l ;act AlERT_ID T-4 
昌 ALzar_mpAcT deninl of service 
虽 ALERT_ASSESSHENT ninomn 

i th 虽 zz_PATLY Tv4 

全 wojms_aaete:e a pcizrnm em0 
昌 sc_os 
SENSOR won 1 
加 corer MY 


图 4-200 查询 结果 信息 


2 数据 库 维护 

1) 登录 “LogServer 数据 库 维护 工具 ” 

如 图 4-201 所 示 ,依次 选择 “开始 ”>“ 程 序 ”>“ 锐 捷 和 信 侵 检测 系统 ”>“ 锐 捷 入 侵 检测 
系统 (网 络 )”>“RG-IDS 数据 库 维护 工具 ”选项 。 在 登录 框 中 输入 相应 的 账号 ,密码 。 


统 捷 入侵 检 出 系统 


事件 收集 器 |127.0.0.1 "| 
账号 [est 


密码 |**** 


通信 端口 Ee 
| 三 > 


4-201 登录 LogServer 数据 库 维护 工具 


2) 数据 库 维护 (以 备份 为 例 说 明 ) 

进入 “LogServer 数据 库 维护 工具 ”, 选 择 相应 的 数据 类 型 (本 例 选择 “安全 事件 ”) ,在 
维护 操作 中 选择 “备份 ”, 以 及 起 始 时 间 和 相应 的 文件 路 径 , 单 击 “ 开 始 ” 按 钮 ,如 图 4-202 
所 示 。 
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备份 成 功 后 ,如 图 4-203 和 图 4-204 所 示 。 


ETT] 


| 


图 4-202 数据 库 维护 备份 


图 4-204 成 功 备份 数据 库 (2) 
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第 5 意 
”统一 安全 网 闫 基础 知识 


随 着 网 络 技术 的 快速 发 展 ,各 种 网 络 威胁 也 在 不 断 出 现 ,安全 漏洞 的 频频 曝光 ,黑客 
技术 的 日 新 月 异 ,木马 蠕虫 等 病毒 的 不 断 变种 ,导致 很 多 企业 用 户 谈 “ 网 ” 色 变 。 

网 络 安全 威胁 已 成 为 每 个 企业 骂 待 解决 的 问题 , 面 对 多 变 的 网 络 攻击 ,采用 防火 墙 、 
入 侵 检测 、 防 病毒 等 安全 设备 是 传统 大 型 企业 的 首选 ,但 这 些 设 备 费用 高 ,日 常 维护 工作 
复杂 技术 ,让 很 多 中 小 企业 望而却步 ,USG( 统 一 安全 网 关 ) 的 出 现 , 为 这 些 中 小 企业 带 来 
了 新 的 选择 。 


5.1 ”什么 是 统一 安全 网 关 


防火 墙 .IDS、 防 病毒 技术 经 过 多 年 发 展 ,现在 已 经 逐渐 成 熟 并 稳定 ,开始 相互 渗透 ， 
相互 补充 。 近 两 年 ,出 现 了 一 个 明显 的 趋势 : 防火 墙 IDS、 防 病毒 甚至 内 容 过 滤 厂 商 分 别 
从 自 有 产品 出 发 ,通过 增加 不 同 的 安全 功能 模块 来 发 展 USG。 实 际 上 ,这 主要 得 益 于 硬 
件 技 术 的 发 展 。 为 了 解决 深度 检查 大 量 耗 费 CPU 资源 , 除 ASIC 加 速 芯片 外 ,一 批 新 的 
硬件 解决 方案 出 现 了 ,这 些 硬 件 能 大 幅度 加 速 内 容 匹 配 ,使 USG 从 概念 变 成 了 可 用 的 
产品 。 

统一 安全 网 关 (Unified Securty Gatway, USG) 技 术 就 是 将 防 病毒 .入侵 检 测 和 防火 
墙 安全 设备 划 归 统一 安全 网 关 新 类 别 。 目 前 ,USG 常 定 义 为 由 硬件 .软件 和 网 络 技术 组 
成 的 具有 专门 用 途 的 设备 ,简单 来 说 它 就 是 将 多 项 安全 功能 和 多 种 安全 特性 集成 在 一 个 
硬件 设备 中 ,构成 一 个 标准 的 统一 管理 平台 ,如 
图 5-1 所 示 。USG 主要 提供 一 项 或 多 项 安全 功 
能 ,同时 将 多 种 安全 特性 集成 在 一 个 硬件 设备 
中 ,形成 标准 的 统一 安全 网 关 管理 平台 。 从 Ti Tn 和 
USG 定义 可 以 看 出 , USG 集中 了 多 种 安全 功 {多 容 过 湾 ] [入 信忠 名 [到 垃圾 邮件 ] 
能 ,但 这 些 安全 功能 不 一 定 同时 应 用 ,可 以 只 使 
用 某 一 个 功能 。 因 此 ,USG 完全 有 可 能 取代 防 。 。 图 51 统一 安全 网 关 管理 平台 
火 墙 网 络 入侵 检 测 等 单一 功能 的 安全 产品 。 

USG 设备 应 该 具备 的 基本 功能 包括 网 络 防 火 墙 .网络 入 侵 检 测 / 防 御 和 网 关 防 病毒 
功能 。USG 集成 了 多 种 功能 ,但 却 不 一 定 要 同时 开启 。 根 据 不 同 用 户 的 不 同 需 求 以 及 不 
同 的 网 络 规模 ,USG 产品 分 为 不 同 的 级 别 。 也 就 是 说 ,如 果 用 户 需要 同时 开启 多 项 功能 ， 
则 需要 配置 性 能 比较 高 ,功能 比较 丰富 的 产品 。 
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“5.2 统一 安全 网 关 特 点 


USG 集 多 功能 于 一 身 , 除 了 传统 的 防火 墙 功能 外 ,入 侵 防御 (IPS) 功 能 的 加 入 使 得 
USG 的 防御 能 力 达到 2 一 7 层 ; 防 病毒 功能 为 企业 的 数据 安全 提供 了 保障 ; 端 到 端的 
IPSec VPN 功能 为 大 中 型 企业 扩展 业务 带 来 了 便利 ;动态 路 由 功能 为 公司 节省 了 投资 ; 
内 容 过 滤 功 能 更 是 消除 了 页 面 \.URL、 网 页 控件 等 带 来 的 威胁 ;借助 入侵 防御 引擎 的 深度 
扫描 能 力 使 反 垃 圾 邮件 功能 更 加 强大 。 强 大 的 综合 性 能 使 得 很 多 企业 开始 选择 USG, 高 
度 集成 化 的 趋势 正在 安全 产品 领域 形成 。 

也 许 有 人 会 指出 USG 是 一 个 完整 的 安全 硬件 ,一 旦 出 现 问题 可 能 会 导致 所 有 安全 
防御 功能 失效 ,造成 无 法 挽回 的 损失 。 对 于 这 个 问题 用 户 大 可 放心 ,因为 现在 的 USG 已 
具备 高 可 用 性 ,能够 采用 主 备 模式 ,在 检测 到 链 路 和 设备 故障 时 由 备份 设备 取代 主 设备 ， 
提供 不 间断 的 安全 防护 ,保证 企业 网 络 的 安全 稳定 。 

统一 安全 网 关 USG 在 组 建安 全 网 络 中 的 优点 如 下 : 

(1) 整合 所 带 来 的 成 本 降低 

将 多 种 安全 功能 整合 在 同一 产品 中 能 够 让 这 些 功 能 组 成 统一 的 整体 发 挥 作用 , 相 比 
于 单个 功能 的 累加 功效 更 强 , 颇 有 一 加 一 大 于 二 的 意味 。 现 在 很 多 组 织 特别 是 中 小 企业 
用 户 受 到 成 本 限制 而 无 法 获得 令 人 满意 的 安全 解决 方案 ,USG 产品 有 望 解决 这 一 困境 。 
包含 多 个 功能 的 USG 安全 设备 价格 比 单独 购买 这 些 功能 要 低 , 这 使 得 用 户 可 以 用 较 低 
的 成 本 获得 相 比 以 往 更 加 全 面 的 安全 防御 设施 。 

(2) 降低 信息 安全 工作 强度 

由 于 USG 安全 产品 可 以 一 次 性 获得 以 往 多 种 产品 的 功能 ,并 且 只 要 插 接 在 网 络 上 
就 可 以 完成 基本 的 安全 防御 功能 ,所 以 在 部 署 过 程 中 可 以 大 大 降低 强度 。 另 外 ,USG 安 
全 产品 的 各 个 功能 模块 遵循 同样 的 管理 接口 ,并 具有 内 建 的 联动 能 力 ,所 以 在 使 用 上 也 远 
比 传统 的 安全 产品 简单 。 同 等 安全 需求 条 件 下 ,USG 安全 设备 的 数量 要 低 于 传统 安全 设 
备 ,无 论 是 厂商 还 是 网 络 管理 员 都 可 以 减少 服务 和 维护 工作 量 。 

(3) 降低 技术 复杂 度 

由 于 在 USG 安全 设备 中 装 人 了 很 多 的 功能 模块 ,所 以 为 提高 易 用 性 进行 了 很 多 考 
虑 。 另 外 ,这 些 功能 的 协同 运作 降低 了 掌握 和 管理 各 种 安全 功能 的 难度 以 及 用 户 误 操作 
的 可 能 。 对 于 没有 专业 信息 安全 人 员 及 技术 力量 相对 薄弱 的 组 织 来 说 ,使 用 USG 产品 
可 以 提高 这 些 组 织 应 用 信息 安全 设施 的 质量 。 

统一 安全 网 关 USG 在 组 建安 全 网 络 中 的 缺点 如 下 : 

(1) 网 关 防 御 的 弊端 

网 关 防 御 在 防范 外 部 威胁 时 非常 有 效 ,但 是 在 面 对 内 部 威胁 时 就 无 法 发 挥 作用 了 。 
有 很 多 资料 表明 造成 组 织 信息 资产 损失 的 威胁 大 部 分 来 自 于 组 织 内 部 ,所 以 以 网 关 型 防 
御 为 主 的 USG 设备 目前 尚 不 是 解决 安全 问题 的 万 灵 药 。 
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(2) 过 度 集 成 带 来 的 风险 

将 所 有 功能 集成 在 USG 设备 当中 使 得 抗 风 险 能 力 有 所 降低 。 一 旦 该 USG 设备 出 
现 问 题 ,将 导致 所 有 的 安全 防御 措施 失效 。USG 设备 的 安全 漏洞 也 会 造成 相当 严重 的 
损失 。 

(3) 性 能 和 稳定 性 

尽管 使 用 了 很 多 专门 的 软 硬 件 技术 用 于 提供 足够 的 性 能 ,但 是 在 同样 的 空间 下 实现 
更 高 的 性 能 输出 还 是 会 对 系统 的 稳定 性 造成 影响 。 目 前 USG 安全 设备 的 稳定 程度 相 比 
传统 安全 设备 来 说 仍 有 很 多 需要 改进 的 地 方 。 


”5.3 统一 安全 网 关 设备 


RG-USG200 采用 高 性 能 的 硬件 架构 和 一 体 化 的 软件 设计 , 集 防火 墙 VPN、 入 侵 防 
御 (IPS) 、 防 病毒 .外 联 控制 .抗拒 绝 服务 攻击 (Anti-DoS) 内 容 过 滤 、 反 垃圾 邮件 、 
NetFlow 等 多 种 安全 技术 于 一 身 , 同 时 全 面 支持 QoS ,高 可 用 性 (HA) .日 志 审 计 等 功能 ， 
为 网 络 边界 提供 了 全 面 实时 的 安全 防护 ,如 图 5-2 所 示 。 


图 5-2 统一 安全 网 关 设 备 


RG-USG200 统一 集成 防火 墙 /VPN/ 安 全 路 由 器 /安全 交换 机 系统 ,提供 百 兆 性 能 、 
模块 化 架构 .WiFi 接 人 和 丰富 的 路 由 器 交换 机 功能 , 带 2 个 固定 的 Untrust 10/100 接口 
和 4 个 固定 的 Trust 10/100 接口 ,并 附加 1 个 MIC 扩展 插 槽 ,可 以 灵活 扩展 广域网 或 局 
域 网 接口 。 还 额外 支持 一 个 Express 接口 ,专门 用 来 扩展 3G 接口 。 


195 


第 6 重 


统一 


安全 网 关 实 践 技术 


6.1 统一 安全 网 关 初始 化 配置 


【实验 名 称 】 
统一 安全 网 关 初始 化 配置 。 


【实验 目的 】 


登录 USG( 统 一 安全 网 关 ) 设 备 管理 界面 ,进行 基本 的 初始 化 配置 。 


【背景 描述 】 


某 企 业 为 了 提高 网 络 的 安全 性 ,购买 了 一 台 RG-USG 统一 安全 网 关 , 现 在 需要 登录 


到 USG 并 对 其 进行 基本 配置 。 
【需求 分 析 】 


网 络 管理 员 需 要 对 USG 进行 基本 的 配置 。 


【实验 拓扑 】 


如 图 6-1 所 示 的 网 络 拓扑 ,是 企业 为 了 提高 网 络 的 安全 ,购买 的 一 台 RG-USG 统一 
安全 网 关 , 现 在 需要 登录 到 USG 并 对 其 进行 基本 配 


置 ,以 实现 网 络 的 安全 防范 功能 。 
【实验 设备 】 
USG 1 台 
PC 1 台 
【预备 知识 】 
。 网 络 基础 知识 。 
。 USG 操作 基础 知识 。 
【实验 原理 】 
USG 支持 使 用 Web 方式 进行 管理 


管理 主机 
192.168.1.200/24 
Eth0 
192.168.1.250/24 
USG 


6-1 统一 安全 网 关 初 始 化 
配置 网 络 拓扑 图 


,所 有 的 管理 流量 都 是 通过 SSL 进行 加 密 的 ,并 且 
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只 有 通过 身份 认证 后 才能 登录 到 管理 界面 ,并 进行 后 续 的 配置 。 
【实验 步骤 】 


1 登录 USG 的 Web 管 理 界面 

在 默认 出 厂 配 置 中 ,USG 的 Eth0 接口 预先 配置 了 IP 地 址 192. 168. 1. 250/24, 所 以 
在 本 实验 中 使 用 地 址 为 相同 子 网 的 管理 主机 192. 168. 1. 200/24 连接 到 Eth0 接口 对 
USG 进行 管理 。 

USG 使 用 HTTPS 对 管理 流量 进行 加 密 。 在 浏览 器 地 址 栏 中 输入 https://192. 
168. 1. 250 ,浏览 器 将 提示 是 否 接受 USG 证 书 , 单 击 “ 是 ”按钮 ， 如 图 6-2 所 示 。 


Diremiwsim I [TI|iIIIT 
图 6-2 登录 USG 的 Web 管理 界面 


接受 证 书后 ,进入 USG 登录 界面 ,默认 的 用 户 名 为 admin, 密码 为 ruijie. USG， 如 
图 6-3 所 示 。 

单 击 “ 登 录 ” 按 钮 后 ,进入 USG Web 管理 界面 。 在 这 里 可 以 查看 系统 的 版 本 信息 、 系 
统 资源 的 使 用 率 等 , 如 图 6-4 所 示 。 


2 添加 管理 员 

USG 出 厂 上 默认 的 管理 员 为 admin, 密 码 为 ruijie. USG, 为 了 提高 安全 性 ,推荐 对 默认 
管理 员 的 密码 进行 修改 ,也 可 以 添加 更 多 的 管理 员 。 

进入 “管理 员 ” 页 面 , 如 图 6-5 所 示 。 

单 击 “ 新 建 "按钮 添加 管理 员 。 在 “访问 权限 ”下 拉 列 表 中 指定 该 管理 员 所 绑 定 的 权限 
列表 ,安全 列表 在 “管理 员 权限 表 ” 页 面 中 进行 配置 。 如 果 要 限制 该 管理 员 可 以 登录 USG 
所 使 用 的 IP 地 址 ,在 “高 级 选项 ”区 域 通过 地 址 / 掩 码 的 形式 输入 地 址 信息 ,如 图 6-6 
所 示 。 


mm 197 w= 
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ET 


文件 中 久久 旧 查看 WJ 收 高 四 “工具 ID 帮助 由 


加 是- 加 -四 四 本 | 万 村 次 wx 加 | 攻 - 生 国 L j 和 “ 


ETTITCXETTT J] 目 W5l | ” 


用 户 rn | 
宣王 [oo 


(a) 


aa 一 人 


BE 三 三 三 三 硬 几 iwemet 及 
图 6-3 登录 USG 账户 信息 


证 0910020906392599 

主格 host 型 
Ll a V206R0200820080529 

had 入 代入 和 村 证 了 版 志 2003-04-04 


到 同 下 /8 的 才 直 最 外。 入 民生 
2008-08 .| 192 163 3.11192 .| TcP | TCP_Ipswitdh_ 


.168 284/19 .| TCP | TCP_Ipswicdh_， 
TCP |TCP 起 村 Wl 角 你 ,| 
2008-08.，| 192 166 3.1/192 | TCP | TCP 大风 各 吉 人.。 


168.3.1/192.. 


bE] 王 / 晶 的 地 [LE 


me Te ose ae von en se | uro wmeerieiroee 
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lestuser 
ee 
wm 
人 害 吧 


确 宪 凤 [eeeee 


C RADIUS | 是 


Ip/ #1 192.168.110032 __ 
管理 IP 有 入 码 #2 
管理 IP 乔 码 #3 


图 6-6 添加 管理 员 访问 权限 


选择 “管理 员 权 限 表 ” 选 项 卡 ,可 以 配置 管理 权限 列表 ,默认 的 管理 权限 列表 为 
admin， 如 图 6-7 所 示 。 


6-7 配置 管理 权限 列表 


单 击 “ 新 建 " 按 钮 后 可 以 创建 权限 列表 ,并 指定 该 列表 所 具有 的 权限 ,如 图 6-8 所 示 。 


3 配置 接口 

进入 “接口 页面。 在 这 里 单 击 “ 新 建 " 按 钮 创建 VLAN 接口 ,或 单 击 现 有 接口 列表 中 
最 右 侧 的 “编辑 ”图 标 对 接口 进行 配置 , 如 图 6-9 所 示 。 

单 击 接口 最 右 侧 的 “编辑 ”图 标 ,进入 “接口 "页 面 。 这 里 可 以 为 接口 指定 IP 地 址 信 
息 ,或 者 将 接口 配置 为 使 用 DHCP 或 PPPoE 的 方式 获取 地 址 。 

如 果 该 接口 可 以 作为 管理 接口 ,可 以 在 “管理 访问 "区域 指定 允许 的 管理 方式 和 是 否 
允许 ping 该 接口 的 地 址 。 

在 “高 级 选项 ”区 域 还 可 以 指定 接口 的 MTU ,协商 模式 等 参数 ,如 图 6-10 所 示 。 
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新 建 管理 员 权限 表 


图 6-8 创建 权限 列表 


152.160.1.250/2+ 


图 6-9 配置 接口 


ET 


FT HTPps FT pING 
厂 HTTP 。 厂 集中 监控 
C LTp CT ssLVPN 


MTU 1500 (54-1518B) 

tb 而 E 式 [BW 辣 国 
加 率 [m “于 wo 

如 式 


6-10 配置 接口 信息 
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4 配置 安全 域 

安全 域 是 指 USG 所 连接 的 网 络 区 域 ,可 以 将 接口 加 入 到 安全 域 中 ,然后 在 各 种 策略 
中 使 用 安全 域 。 安 全 域 的 配置 不 是 必需 的 ,但 是 当 USG 通过 多 个 接口 连接 到 多 个 网 络 
时 ,推荐 使 用 安全 域 进 行 划分 ,这 样 可 以 方便 后 续 策略 的 配置 。 通 常 连 接 内 部 网 络 的 接口 
将 划分 到 一 个 安全 域 ,连接 外 部 网 络 ( 例 如 Internet) 的 接口 划分 到 一 个 安全 域 。 根 据 网 
络 的 拓扑 结构 ,还 可 以 划分 多 个 安全 域 。 

进入 “安全 域 ”页 面 ,默认 不 存在 安全 域 ,如 图 6-11 所 示 。 


6-11 配置 安全 域 


单 击 “ 新 建 "按钮 创建 安全 域 。 如 果 希 望 安全 域内 的 接口 之 间 可 以 通信 ,请 勾 选 “允许 
接口 间 互相 访问 ” 复 选 框 。 在 “接口 成 员 ” 区 域 可 以 选择 加 入 到 该 安全 域 的 接口 ,如 
图 6-12 所 示 。 


si | 
克 区 许 接口 间 互相 访问 
接口 成 员 (物理 接口 /VLAN/GRE 接 口 ) 


区 etho FE Tehe Cetha 
Deth4 CC eths 


6-12 ”创建 安全 域 


5 配置 网 关 

进入 “基本 配置 "页 面 , 如 图 6-13 所 示 。 

单 击 “ 新 建 ”配置 默认 网 关 。 如 果 希 望 安全 域内 的 接口 之 间 可 以 通信 ,请 勾 选 “允许 接 
口 间 互相 访问 ” 复 选 框 。 在 “接口 成 员 ” 区 域 可 以 选择 加 入 到 该 安全 域 的 接口 ,如 图 6-14 
所 示 。 
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图 6-13 配置 网 关 


新 建 默 认 网 关 


网 关 地 址 1.1.14| 
权重 (1-100) 1 
管理 距离 (1-255) [1 


6-14 选择 加 入 到 安全 域 接口 


6 配置 路 由 
进入 “路 由 表 ” 页 面 ,可 以 查看 当前 USG 的 路 由 表 。 之 前 在 “基本 配置 ?页面 上 添加 
的 网 关 也 将 作为 默认 路 由 出 现在 路 由 表 中 , 如 图 6-15 所 示 。 


有 次 
0:00:28 有 有 效 
部 者 跌 00:00;28 | 有效 


卓志 与 报告 


图 6-15 配置 路 由 信息 


进入 “静态 路 由 ?页面 , 单 击 “ 新 建 ?按钮 添加 静态 路 由 ,如 图 6-16 和 图 6-17 所 示 。 
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图 6-16 添加 静态 路 由 (1) 


| 


IP 地 址 / 接 码 。 [0000 

已 下 -AL [12 | 
Ciuso [le 回 

权重 [Gao 

距 元 [Ga 


[3 


图 6-17 添加 静态 路 由 (2) 


7. 重启 USG 
进入 “维护 ”页 面 ,可 以 选择 重启 系统 或 者 恢复 出 厂 设置 ,恢复 出 厂 设置 需要 重新 启 
动 ,如 图 6-18 所 示 。 


图 6-18 恢复 出 厂 设置 


203 


ee 网 络 安全 防御 技术 实践 教程 Eeesseeal 


62 用 户 权 限 管理 


【实验 名 称 】 


用 户 权限 管理 。 

【实验 目的 】 

为 USG 创建 新 管理 用 户 ,并 为 不 同 的 管理 用 户 分 配 不 同 的 管理 权限 。 

【背景 描述 】 

某 企业 为 了 提高 网 络 的 安全 性 ,购买 了 一 台 RG-USG 统一 安全 网 关 。 现 在 为 了 提高 
对 设备 管理 的 安全 性 ,需要 由 3 个 不 同 的 管理 员 来 管理 USG, 但 是 这 些 管理 员 要 拥有 不 
同 的 管理 权限 。 

在 3 个 管理 员 中 ,第 一 个 管理 员 只 能 够 对 USG 采取 只 读 的 操作 ,例如 查看 配置 ;第 二 
个 管理 员 不 仅 能 够 对 USG 进行 读 取 操作 ,而 且 还 需要 对 USG 进行 配置 ,例如 配置 安全 
策略 ,但 不 能 对 USG 进行 升级 、 重 启 等 操作 ;第 三 个 管理 员 拥有 最 高 的 管理 权限 ,不 仅 可 
以 读 取 配置 .配置 策略 ,还 能 够 对 设备 进行 升级 、 重 启 .配置 管理 员 等 操作 。 


【需求 分 析 】 


为 了 实现 多 个 不 同 权限 的 管理 员 对 USG 进行 管理 ,需要 在 USG 上 创建 多 个 管理 用 
户 , 并 且 赋 予 他 们 不 同 的 管理 权限 。 

【实验 拓扑 】 

如 图 6-19 所 示 的 网 络 拓扑 ,是 企业 为 了 提高 网 络 的 安全 ,购买 的 一 台 RG-USG 统一 
安全 网 关 。 现 在 为 了 提高 对 设备 管理 的 安全 性 ,需要 a 
由 3 个 不 同 的 管理 员 来 管理 USG ,管理 员 要 拥有 不 同 192.168.1.200/24 
的 管理 权限 ,现在 需要 登录 到 USG 并 对 其 进行 配置 ， 
以 实现 网 络 安全 防范 功能 。 


3 Eth0 

【实验 设备 】 192.168.1.250/24 

USG 1 台 

PC 1 台 a 


【预备 知识 】 6-19 USG 用 户 权限 管理 网 络 拓扑 图 


。， 网络 基础 知识 。 
。 USG 操作 基础 知识 。 
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【实验 原理 】 

USG 支持 多 管理 员 , 并 且 可 以 为 不 同 的 管理 员 赋予 不 同 的 管理 权限 ,为 USG 提供 了 
安全 的 管理 机 制 。 

【实验 步骤 】 


1 使 用 默认 的 管理 员 账 号 登录 USG 

在 默认 出 厂 配 置 中 ,USG 的 Eth0 接口 预先 配置 了 IP 地 址 192. 168. 1. 250/24, 所 以 
在 本 实验 中 使 用 地 址 为 相同 子 网 的 管理 主机 192. 168. 1. 200/24 连接 到 Eth0 接口 对 
USG 进行 管理 ,如 图 6-20 所 示 。 


区 


文件 中 名 加 上 查看 (收藏 咎 工具 (1) 帮助 td) | 


QO Nam rm | 


天 让 加 | hetps://192.168.1,250 刁 目 和 | 寻 ” 


o 吕 
© 该 安全 证 书 的 日 期 有 效 。 

人 实 全 证 书 上 的 名 称 无 效 ， 或 者 与 站 点 名 称 不 到、 
是 否 继续 ? 


am | [CS ageso| 


SEE | | 2 
图 6-20 使 用 默认 的 管理 员 账号 登录 USG 


USG 使 用 HTTPS 对 管理 流量 进行 加 密 。 在 浏览 器 的 地 址 栏 中 输入 https:// 
192. 168. 1.250, 浏 览 器 将 提示 是 否 接 受 USG 的 证 书 , 单 击 " 是 ”按钮 。 

接受 证 书后 ,将 进入 到 USG 登录 界面 ,默认 的 用 户 名 为 admin, 密 码 为 ruijie. USG， 
如 图 6-21 所 示 。 

单 击 “ 登 录 ” 按 钮 后 ,进入 USG Web 管理 界面 。 进 入 “管理 员 ” 页 面 ,这 里 可 以 看 到 系 
统 默认 的 管理 员 为 admin, 并 且 绑 定 的 访问 权限 列表 为 admin。admin 访问 权限 列表 也 是 
系统 预定 义 的 ,该 权限 列表 具有 最 高 等 级 的 管理 权限 ,如 图 6-22 所 示 。 


2 配置 具有 只 读 权限 的 管理 员 

进入 “管理 员 ” 页 面 ,选择 “管理 员 权 限 表 ”选项 卡 ,可 以 看 到 系统 预定 义 的 权限 列表 
admin。admin 权限 列表 具有 所 有 的 管理 权限 ,如 图 6-23 和 图 6-24 所 示 。 

单 击 “ 新 建 " 按 钮 后 创建 权限 列表 ,并 为 该 权限 列表 定义 只 读 权 限 , 如 图 6-25 所 示 。 
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文件 口 ”编辑 日 ”查看 收 豪 (A) 工具 (D 帮助 


GO | la)| mr mR ea Rs 3 
TE 


用 户 mn | 
定 司 eosd 


Esl 一 
人 
EE EE 


图 6-21 进入 到 USG 登录 界面 


efaut aupsr administraror 


图 6-22 使 用 系统 默认 的 管理 员 权 限 


Deiauk autnoriy table wi al authority on=ble 


坊间 


图 6-23 配置 具有 只 读 权限 的 管理 员 (1) 
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编辑 管理 权限 表 


ladmin 
[Default authority table with all authority enable 


图 6-25 创建 权限 列表 


进入 “管理 员 ” 页 面 , 单 击 “ 新 建 " 按 钮 添加 管理 员 账 号 ,并 为 该 管理 员 配 置 用 户 名 、 密 
码 和 访问 权限 。 在 访问 权限 中 选择 刚刚 创建 的 read-only 权限 列表 ,如 图 6-26 所 示 。 


dmin_view 
访问 权限 [eatony 国 
人 密 加 


本 ee 


ma Fe 
[TREE 


图 6-26 添加 管理 员 账 号 


注销 当前 用 户 ,重新 使 用 admin_view 用 户 登录 ,如 图 6-27 所 示 。 
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图 6-27 创建 一 个 安全 策略 


进入 "安全 策略 页面, 单 击 “新 建 ?按钮 创建 一 个 安全 策略 。 

单 击 “ 提 交 ” 按 钮 后 ,系统 提示 当前 用 户 
没有 权限 配置 策略 ,所 以 该 用 户 只 能 对 USG 
进行 读 取 操 作 , 如 图 6-28 所 示 。 

注销 当前 用 户 ,重新 使 用 默认 的 admin 
用 户 登 录 。 


3 配置 具有 配置 权限 的 管理 员 
进入 “管理 员 " 页 面 ,选择 “管理 员 权 限 图 6-28 当前 用 户 没有 权限 配置 策略 
表 ” 选 项 卡 。 
单 击 “ 新 建 " 按 钮 后 创建 权限 列表 ,并 为 该 权限 列表 定义 读 取 和 配置 权限 ,如 图 6-29 
所 示 。 


新 建 管理 员 权 限 表 


图 6-29 配置 具有 配置 权限 的 管理 员 
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进入 “管理 员 ” 页 面 , 单 击 “ 新 建 "按钮 添加 管理 员 账 号 ,并 为 该 管理 员 配 置 用 户 名 、 密 
码 和 访问 权限 。 在 访问 权限 中 选择 刚刚 创建 的 config 权限 列表 ,如 图 6-30 所 示 。 


Ha Fw 
区 述 [| | 
wm 

6 才 吧 


Be 


WE [Fe 
Cous [ 时 


图 6-30 添加 管理 员 账 号 访问 权限 


注销 当前 用 户 ,重新 使 用 admin_config 用 户 登录 ,如 图 6-31 所 示 。 


新 建安 全 策略 


ran 
安全 第 略 
[pm 十 | 
| webu 下 | 
IDSW 
对 妇 洽 理 
| 
Ei 
Ei 
rm 
Er 


图 6-31 创建 安全 策略 


进入 “安全 策略 "页面 , 单 击 “ 新 建 " 按 钮 创建 一 个 安全 策略 。 

单 击 “ 提 交 ” 按 钮 后 ,策略 配置 成 功 ,说 明 该 用 户 具 有 配置 的 权限 ,如 图 6-32 所 示 。 

进入 “维护 ”页 面 ,选择 “重启 系统 ”选项 卡 , 这 时 系统 会 提示 该 用 户 没有 权限 ,因为 之 
前 没有 给 该 用 户 分 配 重启 系统 的 权限 ,如 图 6-33 所 示 。 

注销 当前 用 户 ,重新 使 用 默认 的 admin 用 户 登 录 。 


4 配置 具有 所 有 权限 的 管理 员 
进入 “管理 员 " 页 面 ,选择 “管理 员 权限 表 ” 选 项 卡 。 
单 击 “ 新 建 " 按 钮 后 创建 权限 列表 ,并 为 该 权限 列表 定义 所 有 权限 ,如 图 6-34 所 示 。 
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图 6-32 配置 用 户 具有 的 权限 


图 6-33 用 户 没有 分 配 重启 系统 的 权限 


新 建 管理 员 权 限 表 


图 6-34 配置 具有 所 有 权限 的 管理 员 
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进入 “管理 员 ” 页 面 , 单 击 “ 新 建 ? 按 钮 添加 管理 员 账号 ,并 为 该 管理 员 配置 用 户 名 、 
密码 和 访问 权限 。 在 访问 权限 中 选择 刚刚 创建 的 super_admin 权限 列表 ,如 图 6-35 
所 示 。 


admin_super | 
superadmin 国 


图 6-35 添加 管理 员 账 号 


注销 当前 用 户 ,重新 使 用 admin_super 用 户 登录 ,如 图 6-36 所 示 。 


白 建 安全 策略 


F syslog8 志 
3 [ 


日 志 与 报 省 


图 6-36 创建 安全 策略 


进入 “安全 策略 "页面 , 单 击 “ 新 建 " 按 钮 创建 一 个 安全 策略 。 

单 击 “ 提 交 ” 按 钮 后 ,策略 配置 成 功 ,说 明 该 用 户 具 有 配置 的 权限 ,如 图 6-37 
所 示 。 
进入 “维护 ”页 面 ,选择 “重启 系统 ”选项 卡 , 单 击 “ 提 交 ” 按 钮 后 可 以 重启 系统 ,说 明 该 
用 户 具有 最 高 的 权限 ,如 图 6-38 所 示 。 
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图 6-37 配置 用 户 具 有 的 权限 


关上 并 
也 让 


| 
ve | 
a | 
EN 
Xam | 
om | 
eee | 
Eee | 
se 


evsme | 
图 6-38 配置 用 户 具有 重启 系统 的 权限 


_ 页 使 用 统一 安全 网 关 实现 访问 控制 
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【实验 名 称 】 

使 用 统一 安全 网 关 实 现 访问 控制 。 

【实验 目的 】 

利用 USG( 统 一 安全 网 关 ) 的 安全 策略 和 NAT 功能 实现 安全 的 访问 控制 。 
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【背景 描述 】 

某 企业 网 络 的 出 口 使 用 一 台 USG( 统 一 安全 网 关 ) 作 为 接 入 Internet 的 设备 ,并 且 内 
部 网 络 使 用 私有 IP 地 址 (RFC 1918)。 现 在 需要 使 内 部 网 络 中 的 主机 访问 Internet 资 
源 , 并 且 还 需要 进行 访问 控制 ,只 允许 必要 的 流量 通过 USG。 

企业 内 部 网 络 使 用 的 私有 地 址 段 为 10. 1. 1.0/24、10. 1. 2. 0/24 和 10. 1. 3. 0/24。 公 司 
领导 使 用 的 子 网 为 10. 1. 1. 0/24, 设 计 部 使 用 的 子 网 为 10. 1. 2. 0/24, 其 他 员工 使 用 的 子 网 
为 10. 1. 3. 0/24。 并 且 公 司 在 公 网 上 有 一 台 IP 地 址 为 200. 1. 1.1 的 外 部 FTP 服务 器 。 

现在 需要 在 USG 上 进行 访问 控制 ,使 公司 领导 的 主机 可 以 在 任何 时 间 访 问 Internet 
中 的 Web 服务 器 和 FTP 服务 器 ,并 能 够 使 用 邮件 客户 端 (“SMTP/POP3) 收 发 邮件 ;设计 
部 的 主机 只 能 在 上 班 时 间 ( 每 周一 至 周 五 的 9:00~~18:00) 访 问 Internet 中 的 Web 服务 器 
和 公司 的 外 部 FTP 服务 器 ;其 他 员工 的 主机 只 能 在 上 班 时 间 访 问 公 司 的 外 部 FTP 服 


【需求 分 析 】 


企业 网 络 需 要 允许 使 用 私有 编 址 的 内 部 网 络 能 够 访问 Internet, 并 且 对 内 部 网 络 访 
问 Internet 的 流量 进行 限制 ,USG 的 安全 策略 和 NAT 功能 可 以 同时 满足 这 两 个 需求 。 


【实验 拓扑 】 


如 图 6-39 所 示 的 网 络 拓 扑 , 是 企业 为 了 提高 网 络 的 安全 ,购买 的 一 台 RG-USG 统一 
安全 网 关 。 


Ethl 公司 外 部 FTP 服 务 器 
101.1.1.1/30 200.1.1.1 


Eth0 DR 
192.168.1.1/24 
Router 


-二 192.168.1.2/24 


公司 领导 设计 部 其 他 员工 
10.1.1.0124 10.1.2.0/24 10.1.3.0/24 


图 6-39 使 用 统一 安全 网 关 实 现 访问 控制 网 络 拓扑 图 


利用 USG( 统 一 安全 网 关 ) 的 安全 策略 和 NAT 功能 实现 安全 的 访问 控制 ,使 和 有 编 
址 的 内 部 网 络 能 够 访问 Internet, 并 且 对 内 部 网 络 访问 Internet 的 流量 进行 限制 ,以 实现 
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【实验 设备 】 

USG 连接 到 Internet 的 链 路 
USG 1 人 台 

路 由 器 1 台 

PC 3 台 

FTP 服务 器 ”1 台 

【预备 知识 】 


。 网 络 基础 知识 。 
。 USG 基础 知识 。 


【实验 原理 】 


实现 访问 控制 是 USG 的 基本 功能 ,USG 的 安全 策略 ( 包 过 滤 规 则 ) 可 以 根据 数据 包 
的 源 亿 地 址 、 目 的 1P 地 址 服务 (端口 号 ) 等 对 通过 USG 的 报 文 进行 检测 。 并 且 USG 的 
NAT 功能 可 以 对 通过 USG 的 报 文 进行 转换 ,使 私有 编 址 的 主机 可 以 访问 Internet。 

【实验 步骤 】 


1 配置 UG 接口 的 IP 地址 
进入 USG 的 配置 页 面 , 即 “ 接 口 ” 界 面 ,如 图 6-40 所 示 。 


192 .168.1.250124 


6-40 进入 USG 的 配置 页 面 


单 击 eth0 接口 的 “编辑 ”图标 ,为 eth0 接口 配置 IP 地址 及 子 网 掩 码 , 如 图 6-41 
所 示 。 

单 击 ethl 接口 的 “编辑 ”图 标 ,为 ethl 接口 配置 IP 地 址 及 子 网 掩 码 , 如 图 6-42 所 示 。 

接口 配置 IP 地 址 后 的 状态 如 图 6-43 所 示 。 
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编辑 物理 接口 eth0 


人 项 志 ICP © pppoE 


192.168.1.1/24 


区 pING De 
厂 HTTP 三 集 中 监控 
Cz CsstvpN CT Web 证 


图 6-41 为 eth0 接口 配置 卫 地 址 


编辑 物理 接口 eth1 


接口 名 称 ethl 


芍 述 
地 址 模式 。 6 静态 C phcp © pppoE 


玉 地 址 午 码 ”|101.1.1.1/30 


CT HTPps CD pING CTELNET CD ssH 
厂 HTTP ”三 集中 监控 
C LTP CsstvpN 口 web 证 


图 6-42 为 ethl 接口 配置 PP 地 址 


192,168.1.1/24 HTTPS,PING 
101.1,1.1/30 


HTPSPING 


图 6-43 接口 IP 地 址 信息 


2 配置 内 部 子 网 的 地 址 对 象 

进入 USG 的 配置 页 面 , 即 “ 地 址 对 象 " 页 面 。 可 以 看 到 系统 预定 义 了 一 个 名 为 any 的 
地 址 对 象 , 它 包括 所 有 的 地 址 0.0.0.0/0, 如 图 6-44 所 示 。 

单 击 “ 新 建 ” 按 钮 创建 地 址 对 象 ,该 地 址 对 象 包括 公司 领导 主机 的 子 网 10. 1. 1. 0/24， 
如 图 6-45 所 示 。 
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图 6-44 配置 内 部 子 网 的 地 址 


| 
G 了 [oil | 
CE[ | “ 


图 6-45 创建 地 址 对 象 (1) 


创建 包括 设计 部 子 网 10. 1. 2. 0/24 的 地 址 对 象 , 如 图 6-46 所 示 。 


C 主机 中 
© 子 网 110.12024 | 
C 范围 Bu[ ] 


6-46 ”创建 地 址 对 象 (2) 


创建 包括 其 他 员工 子 网 10. 1. 3. 0/24 的 地 址 对 象 ,如 图 6-47 所 示 。 
创建 完 地 址 对 象 后 的 地 址 对 象 列表 如 图 6-48 所 示 。 
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10.1.3.0/24 


oa 
@ 子 网 |10.1.3.024 
omm[ 


6-47 创建 地 址 对 象 (3) 


design 
employee 


图 6-48 地 址 对 象 列 表 


3 配置 地 址 组 
进入 USG 配置 页 面 , 即 地址 对 象 " 页面, 选择 “地址 组 ?选项 卡 , 如 图 6-49 所 示 。 


6-49 配置 地 址 组 


单 击 “ 新 建 ?按钮 创建 地 址 组 。 地 址 组 实际 上 是 地 址 对 象 的 集合 ,一 个 地 址 组 可 以 包 
括 多 个 地 址 对 象 或 者 嵌 套 多 个 地 址 组 ,如 图 6-50 和 图 6-51 所 示 。 
4 配置 NAT 
进入 USG 的 配置 页 面 , 即 NAT 页 面 。 单 击 “ 新 建 ” 按 钮 创建 NAT 规则 ,如 图 6-52 
所 示 。 
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图 6-50 创建 地 址 组 (1) 


manager,designemployee 


图 6-51 创建 地 址 组 (2) 


新 建 源 地 址 转换 


6-52 创建 NAT 规则 (1) 


在 NAT 规则 中 的 源 地 址 选择 之 前 先 创 建 inside 地 址 组 ,目标 地 址 使 用 any 地 址 对 
象 , 服 务 使 用 any 服务 对 象 ,出 接口 为 连接 Internet 的 ethl 接口 ,转换 后 源 地 址 为 “出 接 
口 地 址 ”, 即 ethl 接口 的 地 址 ,如 图 6-53 所 示 。 


CT] 


6-53 创建 NAT 规则 (2) 


5 配置 针对 公司 领导 主机 的 安全 策略 
创建 包括 HTTP、FTP、DNS、SMTP、POP3 服务 的 服务 组 。 进 入 USG 的 配置 页 面 ， 
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即 “ 服 务 对 象 " 页 面 ,选择 “服务 组 ”选项 卡 , 如 图 6-54 所 示 。 


本 居间 


图 6-54 进入 USG 的 配置 页 面 


单 击 “ 新 建 " 按 钮 创建 服务 组 。 服 务 组 实际 上 是 服务 对 象 的 集合 ,一 个 服务 组 可 以 包 
括 多 个 服务 对 象 或 者 嵌 套 多 个 服务 组 ,这 与 地 址 组 的 概念 相同 ,如 图 6-55 所 示 。 


6-55 ”创建 基本 服务 的 服务 组 


配置 安全 策略 ,进入 USG 配置 页 面 , 即 “安全 策略 ”页 面 ,如 图 6-56 所 示 。 


6-56 配置 安全 策略 
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单 击 “新 建 ?按钮 创建 安全 策略 。 安 全 策略 中 源 接口 为 eth0 接口 ; 源 地 址 为 manager 
地 址 对 象 ;目的 接口 为 ethl 接口 ;目的 地 址 为 any 地 址 对 象 ; 服 务 为 manager 服务 组 ;时 
间 表 为 always 地 址 对 象 , 代 表 任 何 时 间 ; 动 作为 PERMIT 允许 ,如 图 6-57 所 示 。 


eth1 


any 
manager 习 
aways 习 


图 6-57 创建 安全 策略 


创建 完 安全 策略 后 ,需要 选择 “启用 ”选项 来 使 该 规则 生效 ,如 图 6-58 所 示 。 


6-58 启用 安全 规则 


6 配置 针对 设计 部 主机 的 安全 策略 
创建 包括 HTTP、FTP、DNS 服务 的 服务 组 。 进 入 USG 的 配置 页 面 , 即 “ 服 务 对 象 ” 
页 面 ,选择 “服务 组 ”选项 卡 , 单 击 “ 新 建 " 按 钮 ,打开 如 图 6-59 所 示 对 话 框 。 


图 6-59 创建 服务 组 
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创建 包括 公司 外 部 FTP 服务 器 的 地 址 对 象 。 进 入 USG 的 配置 页 面 , 即 “地 址 对 象 ” 
页 面 , 单 击 “ 新 建 " 按 钮 添加 地 址 对 象 ,启动 如 图 6-60 所 示 对 话 框 。 


图 6-60 添加 地 址 对 象 


创建 包括 上 班 时 间 的 时 间 对 象 。 进 入 USG 配置 页 面 , 即 * 时 间 对 象 ”页 面 ,选择 “ 周 
期 时 间 ” 选 项 卡 ,如 图 6-61 所 示 。 


图 6-61 创建 上 班 时 间 对 象 
单 击 “ 新 建 "按钮 ,创建 时 间 对 象 。 为 时 间 对 象 输入 名 称 , 如 图 6-62 所 示 。 


团 建 周期 时 间 


图 6-62 为 时 间 对 象 输入 名 称 
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单 击 之 前 页 面 上 的 “新 增 ? 按 钮 来 增加 时 间 段 。 选 择 星期 选项 ,并 选择 开始 时 间 和 结 
束 时 间 ,如 图 6-63 所 示 。 


新建 循环 日 期 


厂 星期 日 ”区 星期 一 区 星期 二 忆 星期 三 


[ 吧 _ 国 村 四国 
[se 辕 H [wm 国人 


图 6-63 新 增 时 间 段 


单 击 “ 提 交 ” 按 钮 ,如 图 6-64 和 图 6-65 所 示 。 


图 6-64 新 增 时 间 周 期 


i] 


G 
星期 一 ,星期 二 星期 三 ,星期 四 ,星期 五 | 09:00 18:00 


图 6-65 ”浏览 新 增 时 间 周期 


配置 允许 设计 部 访问 Web 服务 器 的 安全 策略 ,进入 USG 配置 页 面 , 即 “ 安 全 策略 "页面 。 

单 击 “ 新 建 " 按 钮 创建 安全 策略 。 安 全 策略 中 源 接口 为 eth0 接口 ; 源 地 址 为 design 地 
址 对 象 ; 目 的 接口 为 ethl 接口 ;目的 地 址 为 any 地 址 对 象 ;服务 为 design 服务 组 ;时 间 表 
为 之 前 创建 的 work-time 地 址 对 象 ,代表 上 班 时 间 ; 动 作为 PERMIT 允许 ,如 图 6-66 
所 示 。 

配置 允许 设计 部 访问 公司 外 部 FTP 服务 器 的 安全 策略 ,进入 USG 配置 页 面 , 即 “ 安 
全 策略 ”页 面 。 
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白 建 安全 策略 


[wortctime S| 


图 6-66 ”创建 安全 策略 (1) 


单 击 “ 新 建 " 按 钮 创建 安全 策略 。 安 全 策略 中 源 接口 为 eth0 接口 ; 源 地 址 为 design 地 
址 对 象 ;目的 接口 为 ethl 接口 ;目的 地 址 为 之 前 创建 的 outside_ftpserver 地 址 对 象 ; 服 务 
为 ftp 服务 对 象 ; 时 间 表 为 work-time 地 址 对 象 , 代 表 上 班 时 间 ; 动 作为 PERMIT 允许 ,如 
图 6-67 所 示 。 


新 建安 全 策略 


design S| 


rm 


PERMIT 司 


图 6-67 创建 安全 策略 (2) 
创建 完 安全 策略 后 ,需要 选择 “启用 ”选项 来 使 该 规则 生效 ,如 图 6-68 所 示 。 
7. 配置 针对 其 他 员工 主机 的 安全 策略 
配置 允许 其 他 员工 访问 公司 外 部 FTP 服务 器 的 安全 策略 ,进入 USG 配置 页 面 , 即 


“安全 策略 "页面 。 
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manager aways [manager 
design work-time | desion 
design Duside_ftpseryer | work-time |ftp 


图 6-68 启用 创建 的 安全 策略 (1) 


单 击 “ 新 建 " 按 钮 创建 安全 策略 。 安 全 策略 中 源 接口 为 eth0 接口 ; 源 地 址 为 employee 
地 址 对 象 ; 目的 接口 为 ethl 接口 ;目的 地 址 为 之 前 创建 的 outside_ftpserver 地 址 对 象 ; 服 
务 为 ftp 服务 对 象 ; 时 间 表 为 work-time 地 址 对 象 , 代 表 上 班 时 间 ; 动 作为 PERMIT 允许 ， 
如 图 6-69 所 示 。 


新 建安 全 策略 


[emoyee 国 


[em 翌 
[outside pseer 加 
fp 


mm 日 


图 6-69 创建 安全 策略 


创建 完 安全 策略 后 ,需要 选择 “启用 ”选项 来 使 该 规则 生效 ,如 图 6-70 所 示 。 


manager always | manager 
design work-time | design 
design ouside_ftpserver | work-time | ftp 
employee | ouside_ftpserver | work-time |ftp 


6-70 启用 创建 的 安全 策略 (2) 


8 验证 测试 
。 公司 领导 的 主机 可 以 访问 Internet 中 的 Web 服务 器 和 FTP 服务 器 ,并 能 够 使 用 


邮件 客户 端 (SMTP/POP3) 收 发 邮件 。 
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。 设计 部 的 主机 可 以 访问 Internet 中 的 Web 服务 器 和 公司 的 外 部 FTP 服务 器 。 
。 其 他 员工 的 主机 只 能 访问 公司 的 外 部 FTP 服务 器 。 


【注意 事项 】 


。 USG 的 安全 策略 是 按照 顺序 进行 匹配 的 ,如 果 数 据 流 匹配 到 某 条 规则 后 ,将 不 再 
进行 后 续 规则 的 匹配 。 

在 默认 情况 下 ,USG 拒绝 所 有 没有 明确 允许 的 数据 流通 过 ,并 且 不 对 其 进行 地 址 
转换 。 

在 本 实验 中 没有 给 出 USG 路 由 的 配置 ,需要 根据 实际 网 络 情况 在 USG 上 配置 访 
问 Internet( 通 常 是 默认 路 由 ) 和 内 部 网 络 的 路 由 。 

本 实验 没有 给 出 内 部 网 络 中 路 由 器 的 配置 ,为 了 实现 网 络 的 互通 ,需要 在 路 由 器 
上 配置 地 址 和 相关 路 由 信息 。 


6.4 使 用 统一 安全 网 关 防 止 DoS 攻击 


【实验 名 称 】 

使 用 统一 安全 网 关 防 止 DoS 攻击 。 

【实验 目的 】 

利用 USG( 统 一 安全 网 关 ) 的 防 攻击 功能 防止 SYN Flood 攻击 。 

【背景 描述 】 

某 公司 使 用 USG 作为 网 络 出 口 设 备 连 接 Internet, 并 且 公 司 内 部 有 一 台 对 外 提供 服 
务 的 FTP 服务 器 。 最 近 网 络 管理 员 发 现在 
Internet 中 有 人 向 FTP 服务 器 发 起 SYN 


Flood 攻击 ,造成 FTP 上 存在 大 量 的 半 开 放 连 
接 , 消 耗 了 服务 器 的 系统 资源 。 


【需求 分 析 】 

要 防止 来 自 外 部 网 络 的 DoS 攻击 ,可 以 使 
用 USG 的 防 攻击 功能 。 

【实验 拓扑 】 


如 图 6-71 所 示 的 网 络 拓扑 ,是 企业 网 络 管 1 
理 员 发 现在 Internet 中 有 人 向 FTP 服务 器 发 。 图 6-71 统一 安全 网 关 防 止 Dos 攻 
起 SYN Flood 攻击 ,造成 FTP 上 存在 大 量 的 击 网 络 拓扑 图 


攻击 者 
1.1.1.2/24 
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人 
半 开 放 连 接 ,消耗 了 服务 器 的 系统 资源 。 为 了 提高 网 络 的 安全 ,购买 了 一 台 RG-USG 统 
一 安全 网 关 , 并 对 其 进行 基本 配置 ,使 用 统一 安全 网 关 防 止 DoS 攻击 ,以 实现 网 络 的 安全 
防范 功能 。 


【实验 设备 】 

USG 1 台 

PC ”2 台 (一 台 作 为 FTP 服务 器 ; 另 一 台 模 拟 外 部 网 络 的 攻击 者 ) 
FTP 服务 器 软件 程序 

SYN Flood 攻击 软件 程序 


【预备 知识 】 


。 网 络 基础 知识 。 
。 USG 操作 基础 知识 。 
。 DoS 攻击 原理 。 


【实验 原理 】 


SYN Flood 是 一 种 常见 的 DoS 攻击 ,这 种 攻击 通过 使 用 伪造 的 源 IP 地 址 ,向 目标 主 
机 (被 攻击 端 ) 发 送 大 量 的 TCP SYN 报 文 。 目 标 主机 接收 到 SYN 报 文 后 ,会 向 伪造 的 源 
地 址 回应 TCP SYN_ACK 报 文 以 等 待 发 送 端的 ACK 报 文 来 建立 连接 。 但 是 由 于 发 送 
端的 地 址 是 伪造 的 ,所 以 被 攻击 端 永远 不 会 收 到 合法 的 ACK 报 文 ,这 将 造成 被 攻击 端 建 
立 大 量 的 半 开 放 连 接 ,消耗 大 量 的 系统 资源 ,导致 不 能 提供 正常 的 服务 。 

USG 的 防 攻击 功能 可 以 对 SYN Flood/TCP Flood 攻击 进行 检测 ,阻止 大 量 的 TCP 
SYN 报 文 到 达 被 攻击 端 ,从 而 保护 内 部 主机 的 资源 。 


【实验 步骤 】 


1. 配置 USG 接 口 的 IP 地 址 
如 图 6-72 所 示 , 进 入 USG 的 配置 页 面 , 即 “ 接 口 ”页 面 。 


192,168.1.250/24 


图 6-72 进入 USG 的 配置 页 面 
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单 击 eth0 接口 的 “编辑 ”图 标 ,为 eth0 接口 配置 IP 地 址 及 子 网 掩 码 ,如 图 6-73 
所 示 。 


编辑 物理 接口 eth0 


区 HTPs 区 PING CTEUNET CT ssH 
记 HTTP 。 三 集中 监控 
Cz SSLVPN CT web 证 


图 6-73 为 eth0 接口 配置 卫 地 址 


单 击 ethl 接口 的 “编辑 "图标, 为 ethl 接口 配置 IP 地址 及 子 网 掩 码 , 如 图 6-74 
所 示 。 


编辑 物理 接口 eth1 


区 HTTPS 区 pING CTELNET CT ssH 
记 HTTP 三 集中 监控 
记 LTP FT ssLvpN FT Webi 正 


6-74 为 ethl 接口 配置 IP 地址 


接口 配置 IP 地 址 后 的 状态 如 图 6-75 所 示 。 


192,168.1,1/24 HTTPSPING 
11.11/24 HTTPSPING 


50.1L1/8 HTTPSPING 


6-75 ”接口 配置 人 地址 


wr 


em 网络 安全 防 特技 术 拉 政教 种。 Re 


2 配置 静态 NAT 转 换 

为 了 使 Internet 中 的 用 户 可 以 访问 内 部 的 FTP 服务 器 ,需要 在 USG 上 配置 静态 
NAT 转换 ,将 FTP 服务 器 发 布 到 Internet 中 。 

进入 USG 配置 页 面 , 即 NAT 页 面 ,选择 “静态 地 址 转换 " 单 选 按钮 ,如 图 6-76 所 示 。 


Mar 


图 6-76 在 USG 上 配置 静态 NAT 转换 


单 击 “ 新 建 " 按 钮 创建 静态 地 址 转换 规则 。 规 则 中 的 “外 部 地 址 ”为 FTP 服务 器 对 外 
发 布 的 地 址 六 内 部 地 址 ?为 FTP 服务 器 实际 的 内 部 地 址 ;外 部 接口 ?为 连接 Internet 的 
ethl 接口 ,如 图 6-77 所 示 。 


新 建 静 态 地 址 转换 


.1.1.10 ] 
192 168.1.10 


eth1 


6-77 创建 静态 地 址 转换 规则 


3 配置 安全 策略 
首先 进入 USG 配置 页 面 , 即 “ 地 址 对 象 ” 页 面 。 配 置 包含 内 部 FTP 服务 器 的 地 址 对 
象 ,如 图 6-78 所 示 。 


地 Hb 对 旬 


图 6-78 配置 内 部 FTP 服务 器 地 址 对 象 


单 击 “ 新 建 "按钮 创建 地 址 对 象 ,地 址 为 FTP 服务 器 的 内 部 地 址 192. 168. 1. 10 ,如 
图 6-79 所 示 。 

进入 USG 配置 页 面 , 即 “ 安 全 策略 ”页 面 ,配置 允许 外 部 访问 FTP 服务 器 的 安全 
策略 。 

单 击 “ 新 建 " 按 钮 创建 安全 策略 。 安 全 策略 中 源 接口 为 ethl 接口 ; 源 地 址 为 any 地址 
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192.168.1.10 


|192.168.1.10 | 


图 6-79 创建 地 址 对 象 


对 象 ;目的 接口 为 eth0 接口 ;目的 地 址 为 FTPSERVER 地 址 对 象 ;服务 为 ftp 服务 对 象 ; 
时 间 表 为 always 地 址 对 象 , 代 表 任 何 时 间 ;动作 为 PERMIT 允许 ,如 图 6-80 所 示 。 


图 6-80 创建 安全 策略 
创建 完 安全 策略 后 ,需要 选择 “启用 ”选项 来 使 该 规则 生效 ,如 图 6-81 所 示 。 


FTPSERVER aways 


6-81 启用 安全 策略 


4 验证 测试 
在 内 部 PC 上 安装 好 FTP Server 程序 ,并 进行 相应 的 配置 。 在 外 部 PC 上 测试 到 达 
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FTP 服务 器 的 连通 性 
1.1.1. 10, 端 口 为 21 的 请 


这 里 使 用 的 FTP 目标 地 址 为 1. 1. 1. 10。USG 将 其 发 送 到 
定向 到 内 部 的 FTP 服务 器 ,如 图 6-82 所 示 。 


or?ftp 1-1-1.18 


ged in, proceed. 


图 6-82 ”验证 测试 


外 部 PC 可 以 通过 预先 设置 的 用 户 名 和 


5 实施 SYN Flood 攻击 
外 部 PC 上 使 用 SYN Flood 连接 工具 以 随机 的 源 地 址 和 端口 向 FTP 服务 器 
(1.1.1.10) 发 起 攻击 ,此 时 在 FTP 服务 器 上 通过 Windows 命令 netstat-an 可 以 看 到 外 
部 ne FTP 服务 器 的 21 端口 建立 了 大 量 的 半 开 放 连 接 ,状态 为 SYN_RECEIVED, 如 
图 6-83 所 示 。 


码 登录 FTP 服务 器 。 


1.251.96.181:9880 SYN_RECEIVED 
SYN_RECEIUED 
SYN_RECEIUED 
SYN_RECEIUED 
SYN_RECEIUED 
SYN_RECEIUED 
SYN_RECEIVED 
SYN_RECEIUED 
SYN_RECEIUED 
SYN_RECEIUED 
SYN_RECEIUED 
SYN_RECEIUED 


.153.285 .211:3455 
RECEIVED 

CEIUED 

UED 

UED 

UED 

SYN_RECEIUED 

SYN_RECEIUED 

SYN_RECEIUED 

3 SYN_RECEIUED 
-244.284.297:54817 SYN_RECEIVED 


-246.34.145:48256 cSYN_RECEIUED 
.91.87.237:15928 SYN_RECEIUED 


图 6-83 实施 SYN Flood 攻击 


6 6 配置 安全 防护 表 
进入 USG 配置 页 面 , 即 “安全 策略 页面。 选择 “安全 防护 表 ” 选 项 卡 , 如 图 6-84 
所 示 。 

单 击 “ 新 建 "按钮 创建 安全 防护 表 。 为 安全 防护 表 配 置 名 称 , 选 择 并 展开 “ 防 Flood 攻 
击 ” 选 项 ,选择 TCP Flood 中 的 “对 目标 主机 限制 最 大 连接 ”选项 ,并 设置 连接 数 为 15, 如 
图 6-85 所 示 。 
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图 6-84 配置 安全 防护 表 


新 建安 全 防护 表 


TEP Flood 5 


万 对 旺 台 帮主 机 进行 流 腿 制 
的 对 目标 主机 限制 最 大 连接 


UDP Flood 


厂 对 时 台 大 主 机 进行 流 限 制 
万 对 目标 主机 限制 最 大 连接 


厂 对 旺 台 埋 主 机 进行 流 限 出 
厂 对 目标 主机 限制 最 大 连 按 


图 6-85 创建 安全 防护 表 


配置 完 防 Flood 攻击 后 ,仍然 在 该 防护 表 中 选择 并 展开 “日 志 ” 选 项 ,选择 本 地 日 志 中 
的 “ 防 Flood 攻击 ”选项 ,记录 本 地 日 志 , 如 图 6-86 和 图 6-87 所 示 。 


和 [rm 
st | 


[Sa 思 碍 固 


[到 别 


[aa 国 信 
图 6-86 选择 “ 防 Flood 攻击 ”选项 
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Dos 国 


图 6-87 记录 本 地 日 志 


7 将 安全 防护 表 应 用 到 安全 策略 
进入 USG 配置 页 面 , 即 “ 安 全 策略 "页面 ,对 之 前 创建 的 安全 策略 进行 编辑 ,在 “安全 
防护 ”页 面 上 引用 刚 创 建 的 安全 防护 表 , 如 图 6-88 和 图 6-89 所 示 。 


编辑 安全 策略 


lawys 国 
PEpwr 加 


6-88 编辑 安全 策略 (1) 


Lv Sd" "ar" 到 


la |FmsepvR jwas la lnms pehnr | Eee 


6-89 ”编辑 安全 策略 (2) 


8 配置 本 地 日 志 
进入 USG 配置 页 面 , 即 “日 志 配 置 " 页 面 ,选择 “日 志 过 滤 ” 选 项 卡 ,在 攻击 事件 中 选 
择 *DoS 事件 ”, 以 显示 DoS 攻击 产生 的 日 志 , 如 图 6-90 所 示 。 


9 验证 测试 
在 外 部 PC 上 使 用 SYN Flood 连接 工具 再 次 向 FTP 服务 器 (1. 1. 1. 10) 发 起 攻击 。 
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二 


DIDODOOOIDIS 


im|lm lm ln ls elle 


本 回回 回回 回回 回 辐 回回 回回 回回 


通知 司 


ou 
oo 


图 6-90 配置 本 地 日 志 


此 时 在 FTP 服务 器 上 通过 Windows 命令 netstat-an 可 以 看 到 外 部 主机 与 FTP 服务 器 的 
21 端口 只 建立 了 少量 的 半 开 放 连 接 (大 约 15 个 ), 其 他 所 有 的 SYN Flood 攻击 报 文 已 经 
被 USG 阻 断 ,如 图 6-91 所 示 。 


TC: MTDOTS\syste 


MAIT 
WAIT 
WAIT 
WAIT 
WAIT 
RECEIVED 
RECEIVED 
RECEIVED 
RECEIVED 
RECEIVED 
RECEIVED 
RECEIVED 
RECEIVED 
RECEIVED 
RECEIVED 
RECEIVED 
RECEIVED 
SYN_RECEIVED 
SYN_RECEIVED 
RECEIVED 


UDP 
UDP 
UDP 
UDP 


图 6-91 验证 测试 


进入 USG 配置 页 面 , 即 “本 地 日 志 ” 页 面 ,选择 “事件 日 志 ” 选 项 卡 , 可 以 看 到 之 前 DoS 
攻击 产生 的 日 志 , 如 图 6-92 所 示 。 


【注意 事项 】 
本 实验 涉及 的 攻击 工具 只 能 用 于 实验 。 
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2009.09.02 11; 
2008-09-02 11:02:30 
2008-09-02 11;02:30 
2008-09-02 11:02:30 
2008-09-02 11:02:30 


SrelP=4. 105 84.176 Dstip=192.153.1.10 protccoi=TCP InInterface=ethl Cutintericce= 
Scip=200.196.156.4157 Dstip=192.168.1.10 ProDcol=TCP inintarface=erh1 outinterfad 
Srcip=a7.143.240 24 0stIP=192.158.1 10 Protocol=TCP tnintertace=eth! Outinterface 


Srclp-30.102 115 13 0stIP=192.158.1 10 Protocol=TCP trinterface=eth! Outinterface: 
SIP=4425 242 122 stIp=192 158.1 10 Protocol=TCP trinterfare=eth! Outinterface 
SIP-222 230 35 102 DstlP =192.168.1.10 Protocol-TCF JrInterface=ethl Dutinterfar 


Slp=34.193 133 102 Dstip=192.168.1.10 Protocol=TCP irinterface=eth1 Outinterfar 
Srelp=101 33 22 105 0stIP=192.158.1 10 Protocol=TCP tninterface=eth! Outinterface: 
Srclp-194,150.335 DstIP-192,159,1,10 ProtccoFTCP Ininterface-eth! Cukincerisce- 
Scip<542.55.71 Dstip=192,168.1.10 Protocol=TCP Ininterface=ethl OUtinterface=et 
Srolp=15439 120 124 DstIP=192,158.1.10 Protoeol=TCFP Ininterface=eth1 DutInterfatt 


2008-09-02 11:02:30 
2008-09-02 11:02:30 
2000-09-02 11:08:30 


SIP-156 7+.105 63 OstIP-192.150,1.10 Protocol-TCP ininterface~eth! Outinterface， 
SIP=78.139 42.254 UstIP=192,158,1 10 Protocol=TCP ininterfave=eth! Outinterface 
Scip<8333.36.52 DstiP=192 163 .1.10 prorocoFTEP Ininteriace=ethl Gutinterfacs=et 


SSEBBISEIEEIEIEIEISISIEIE 


Srclp=159.254.121.112 Dstip<192.166.L10 Protocol=TCP Jnintsrface=ethl Outinterfa 


6-92 DoS 攻击 产生 日 志 
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【实验 名 称 】 


使 用 统一 安全 网 关 限制 IM 软件 。 
【实验 目的 】 
使 用 (USG) 统 一 安全 网 关 限制 即时 通信 软件 (IM) ,对 IM 软件 进行 管理 。 
【背景 描述 】 
某 企 业 为 了 提高 网 络 的 安全 性 ,部 署 了 一 台 
USG。 但 是 ,公司 发 现 许 多 员工 在 工作 时 间 , 使 用 
即时 通信 软件 (例如 QQ) 进 行 聊天 ,严重 影响 了 工 Ethl 
作 效 率 。 公 司 希 望 在 上 班 时 间 不 允许 普通 员工 使 
用 IM 软件 进行 聊天 ,只 有 广告 部 的 员工 由 于 业务 Ue 


需要 可 以 使 用 IM 软件 。 en 


【需求 分 析 】 


为 了 实现 对 IM 软件 的 限制 ,可 以 使 用 USG 


的 IM 软件 管理 功能 ,只 允许 特定 的 IM 用户 登 录 。 广告 部 员工 其 他 员工 
192.168.1.100/24 192.168.1.200/24 


【实验 拓扑 】 图 6-93 统一 安全 网 关 限制 IM 


如 图 6-93 所 示 的 网 络 拓扑 ,是 企业 网 络 管理 软件 网 络 拓扑 图 
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员 发 现 许多 员工 在 工作 时 间 , 使 用 即时 通信 软件 (例如 QQ) 进 行 聊天 ,严重 影响 了 工作 效 
率 。 公 司 希 望 在 上 班 时 间 不 允许 普通 员工 使 用 IM 软件 进行 聊天 ,只 有 广告 部 的 员工 由 
于 业务 需要 ,可 以 使 用 IM 软件 。 为 了 提高 网 络 的 效率 ,购买 了 一 台 RG-USG 统一 安全 
网 关 , 使 用 USG 的 IM 软件 管理 功能 ,只 允许 特定 的 IM 用 户 登 录 。 


【实验 设备 】 


USG 连接 到 Internet 的 链 路 
USG 1 台 

PC 2 台 

【预备 知识 】 


。 网络 基础 知识 。 
。 USG 操作 基础 知识 。 


【实验 原理 】 


USG 支持 对 IM 软件 进行 管理 的 功能 。USG 可 以 对 MSN `QQ、 雅 虎 通 等 IM 软件 
进行 限制 ,只 允许 特定 的 用 户 使 用 IM 软件 。 
本 实验 以 QQ 软件 为 例 。 


【实验 步骤 】 


1 配置 USG 接 口 的 IP 地址 
如 图 6-94 所 示 , 进 入 USG 的 配置 页 面 , 即 “接口 "页面 。 


192,168 1.250/24 


S011.18 


6-94 进入 USG 的 配置 页 面 


单 击 eth0 接口 的 “编辑 "图标 ,为 eth0 接口 配置 IP 地 址 及 子 网 掩 码 ,如 图 6-95 所 示 。 
单 击 ethl 接口 的 “编辑 ”图标 ,为 ethl 接口 配置 IP 地 址 及 子 网 掩 码 。 这 里 ethl 接口 
作为 连接 到 Internet 的 接口 ,请 根据 实际 情况 配置 ethl 接口 的 地 址 信息 。 
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编辑 物理 控 口 eth0 


图 6-95 ”eth0 接口 配置 了 P 地 址 


2 配置 USG 的 默认 网 关 
进入 USG 的 配置 页 面 , 即 “ 基 本 配置 "页 面 ,在 网 关 地 址 栏 中 ,请 根据 实际 情况 配置 
访问 Internet 的 默认 网 关 地 址 ,如 图 6-96 所 示 。 
看 mas | 新 建 抉 省 网 关 


同 关 顽 址 
权重 (1-100) 1 
管理 距离 (1-255) |1 


ES EECTI 


6-96 配置 USG 的 默认 网 关 


3 配置 内 部 子 网 的 地 址 对 象 
进入 USG 的 配置 页 面 , 即 “地址 对 象 "页 面 , 可 以 看 到 系统 预定 义 了 一 个 名 为 any 的 
地 址 对 象 , 它 包括 所 有 的 地 址 0. 0. 0. 0/0, 如 图 6-97 所 示 。 


图 6-97 配置 内 部 子 网 的 地 址 对 象 
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单 击 “ 新 建 "按钮 创建 地 址 对 象 ,该 地 址 对 象 包括 公司 内 部 子 网 192. 168. 1. 0/24, 如 
图 6-98 所 示 。 


名 区 te | 
PE 


PE 
ca 


定子 同 |192.168.1.024 
C 范围 6 


192.168.1.0/24 


图 6-98 创建 地 址 对 象 


4 配置 NAT 

进入 USG 的 配置 页 面 , 即 NAT 页 面 , 单 击 “ 新 建 "按钮 创建 NAT 规则 。 

NAT 规则 中 的 源 地 址 选择 之 前 创建 的 inside 地 址 对 象 ,目标 地 址 使 用 any 地 址 对 
象 ,服务 使 用 any 服务 对 象 ,出 接口 为 连接 Internet 的 ethl 接口 ,转换 后 源 地 址 为 “出 接 
口 地 址 ”, 即 ethl 接口 的 地 址 ,如 图 6-99 和 图 6-100 所 示 。 


新 建 源 地 址 转 找 


inside 司 


6-100 创建 NAT 规则 (2) 


5 配置 安全 防护 表 
进入 USG 配置 页 面 , 即 “ 安 全 策略 ”页 面 ,选择 “安全 防护 表 ” 选 项 卡 ,如 图 6-101 
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所 示 。 


6-101 配置 安全 防护 表 


单 击 “ 新 建 ” 按 钮 创建 安全 防护 表 。 为 安全 防护 表 配 置 名 称 ,选择 并 展开 “外 联 控制 ” 
选项 , 勾 选 IM 复 选 框 ,如 图 6-102 和 图 6-103 所 示 。 


[cra | 


图 6-102 创建 安全 防护 表 


6-103 选择 展开 外 联 控制 


6 配置 安全 策略 

进入 USG 配置 页 面 , 即 “ 安 全 策略 "页面 ,如 图 6-104 所 示 。 

单 击 “新 建 " 按 钮 创建 安全 策略 。 在 安全 策略 中 源 接 口 为 eth0 接口 ; 源 地 址 为 inside 
地 址 对 象 ;目的 接口 为 ethl 接口 ;目的 地 址 为 any 地 址 对 象 ;服务 为 any 服务 对 象 ;时 间 
表 为 always 地 址 对 象 ,代表 任何 时 间 ; 动 作为 PERMIT 允许 六 安全 防护 ?选择 之 前 创建 
的 安全 防护 表 QQ ,如 图 6-105 所 示 。 

创建 完 安全 策略 后 ,需要 选择 “启用 ”选项 来 使 该 规则 生效 ,如 图 6-106 所 示 。 
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sass 


图 6-104 配置 安全 策略 
新 建安 全 策略 


et _ 


inside 司 
eth1 司 


any 


lm 了 晶 


_ 一 一 
tnsde ja jlawa lamy laQa jpernr | ee 
图 6-106 启用 安全 策略 


7 验证 测试 
在 广告 部 的 PC 上 和 其 他 员工 的 PC 上 登录 QQ 软件 ,都 可 以 登录 成 功 。 
进入 USG 配置 页 面 , 即 IM 页 面 ,选择 “监视 器 ”选项 卡 ,可 以 查看 登录 IM 用 户 的 详 


细 信 息 。 例 如 协议 、 用 户 名 、IP 地 址 等 ,如 图 6-107 所 示 。 
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192.168.1.200 2008-09-01 13:33: 和 0 


图 6-107 验证 测试 


从 图 6-107 中 可 以 看 到 ,广告 部 PC 和 其 他 员工 的 PC 都 成 功 登录 了 QQ。 


8 配置 IM 白 名 单 
现在 需要 进行 IM 限制 的 相关 配置 ,只 允许 广告 部 员工 登录 QQ。 
进入 USG 配置 页 面 , 即 IM 页 面 ,选择 “ 白 名 单 ”选项 卡 ,如 图 6-108 所 示 。 


图 6-108 配置 IM 白 名 单 


单 击 “ 新 建 " 按 钮 创建 黑 名 单 。 在 “协议 ”下 拉 列 表 中 选择 *"QQ”; 在 “用 户 名 ”文本 框 
中 输入 广告 部 员工 的 QQ 号 ,并 勾 选 “启用 ” 复 选 框 ,如 图 6-109 和 图 6-110 所 示 。 


6-109 创建 黑 名 单 


一 


34387710 @ 


图 6-110 启用 创建 的 黑 名 单 
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9 配置 IM 模 板 
进入 USG 配置 页 面 , 即 IM 页 面 ,选择 “模板 ”选项 卡 ,如 图 6-111 所 示 。 


图 6-111 配置 IM 模板 


单 击 “新 建 ” 按 钮 创建 IM 模板 。 为 模板 配置 名 称 后 ,选择 QQ 选项 ,并 选择 “ 白 名 
单 ”, 如 图 6-112 和 图 6-113 所 示 。 


新 建 IM 模 板 


SB [Alow Ateroo | 
据 运 [Xf 广 千 I 宫 杂 0 | 


ElBen# 加 
5B 二 
[EE 
| 


图 6-112 创建 IM 模板 


Alov_AdverqQ 0 | 北 评 广 上 部 局 工时 对 QQ 男 国 


图 6-113 选择 白 名 单 


人 0 配置 安全 防护 表 

进入 USG 配置 页 面 , 即 “ 安 全 策略 ”页 面 ,选择 “安全 防护 表 ” 选 项 卡 ,对 之 前 创建 的 
名 为 QQ 的 安全 防护 表 进 行 编辑 ,使 该 防护 表 在 外 联 控制 的 IM 中 引用 之 前 创建 的 IM 模 
板 Allow_AdverQQ ,如 图 6-114 所 示 。 
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6-114 配置 安全 防护 表 


人 1 验证 测试 

在 广告 部 的 PC 上 和 其 他 员工 的 PC 上 登录 QQ 软件 ,这 时 只 有 广告 部 的 员工 可 以 登 
录 QQ ,其 他 员工 则 无 法 登录 QQ。 

进入 USG 配置 页 面 , 即 IM 页 面 ,选择 “监视 器 ?选项 卡 ,可 以 看 到 广告 部 员工 QQ 登 
录 的 信息 ,如 图 6-115 所 示 。 


图 6-116 查看 被 USG 阻止 的 用 户 数 信息 


【注意 事项 】 
。 在 实验 中 ,请 根据 实际 情况 配置 USG 到 达 Internet 的 连接 。 
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。 本 实验 使 用 的 是 白 名 单 ,如 果 想 阻 断 特定 用 户 使 用 IM 软件 ,可 以 使 用 黑 名 单 进行 
配置 。 


6.6 使 用 统一 安全 网 关 过 滤 Web 病毒 


【实验 名 称 】 

使 用 统一 安全 网 关 过 滤 Web 病毒 。 

【实验 目的 】 

使 用 (USG) 统 一 安全 网 关 过 滤 Web/HTTP 流量 中 的 病毒 。 

【背景 描述 】 

某 企 业 为 了 提高 网 络 的 安全 性 ,在 网 络 出 口 处 部 署 了 一 台 USG。 但 最 近 管理 员 发 
现 ,内 部 网 络 中 的 很 多 主机 都 被 感染 了 病毒 ,而 且 经 过 分 析 和 定位 后 ,发 现 很 多 病毒 都 是 


授 入 在 HTTP 流量 中 , 即 用 户 浏览 网 页 时 会 将 病毒 下 载 到 本 地 。 公 司 希 望 能 够 防止 嵌入 
在 HTTP 流量 中 的 病毒 进入 到 内 部 网 络 中 。 


【需求 分 析 】 


为 了 防止 网 页 病毒 进入 到 内 部 网 络 中 ,需要 在 网 关 处 进行 病毒 检测 ,阻止 恶意 的 流量 
传输 到 内 部 网 络 中 。 


【实验 拓扑 】 


如 图 6-117 所 示 的 网 络 拓扑 ,是 企业 为 了 提高 网 络 的 安全 ,在 网 络 出 口 处 部 署 了 一 台 
USG。 但 最 近 管理 员 发 现 ,内 部 网 络 中 的 很 多 主机 都 被 感染 了 
病毒 ,而 且 经 过 分 析 和 定位 后 ,发 现 很 多 病毒 都 是 嵌入 在 HTTP 
流量 中 ,公司 希望 能 够 防止 嵌入 在 HTTP 流量 中 的 病毒 进入 到 
内 部 网 络 中 ,因此 ,购买 了 一 台 RG-USG 统一 安全 网 关 , 在 网 关 
处 进行 病毒 检测 ,阻止 恶意 的 流量 传输 到 内 部 网 络 中 ,以 实现 网 
络 的 安全 防范 功能 。 有 


192.168.1.1/24 


【实验 设备 】 

USG 连接 到 Internet 的 链 路 

USG 1 台 web 客户 内 

PC 1 台 192.168.1.100/24 
、 图 6-117 统一 安全 网 关 过 
口 

【预备 知识 】 pet 

。 网 络 基础 知识 。 络 拓扑 图 
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。 USG 操作 基础 知识 。 


【实验 原理 】 


USG 集成 了 网 关 病 毒 过 滤 功能 ,支持 对 Web/HTTP 流量 进行 病毒 扫描 ,可 以 将 
Web/HTTP 流量 中 的 病毒 过 滤 掉 ,保护 内 部 网 络 免 受 病毒 人 侵 。 


【实验 步骤 】 


1 配置 USG 接 口 的 IP 地址 
如 图 6-118 所 示 , 进 入 USG 的 配置 页 面 , 即 “接口 ”页面 。 


192108 1250/24 HTTPSPING 


回 梧 回回 回回 
区 己基 区 | 区 


图 6-118 配置 USG 接口 的 IP 地 址 
单 击 eth0 接口 的 “编辑 ”图标 ,为 eth0 接口 配置 IP 地 址 及 子 网 掩 码 , 如 图 6-119 
所 示 。 


编辑 物理 接口 eth0 


人 吉 志 © DHCP 


JP 十 乱码 [192.168.1.1/24 ] 


DDNS 记 局 用 


区 HTTPS 区 pING CTELNET ” 口 ssH 
厂 HTTP 。 三 集中 监控 
C LTp CSSsLVPN FT web 证 


图 6-119 为 eth0 接口 配置 IP 地 址 


单 击 ethl 接口 的 “编辑 ?图 标 ,为 ethl 接口 配置 IP 地 址 及 子 网 掩 码 。 这 里 ethl 接口 
作为 连接 到 Internet 的 接口 ,请 根据 实际 情况 配置 ethl 接口 的 地 址 信息 。 
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2 配置 USG 的 默认 网 关 
进入 USG 的 配置 页 面 , 即 “ 基 本 配置 "页面, 在 网 关 地 址 栏 中 ,请 根据 实际 情况 配置 
访问 Internet 的 默认 网 关 地 址 ,如 图 6-120 所 示 。 


新 建 癸 省 网 关 


网 关 地 址 [ | 


权重 (1-100) 


管理 距离 (1-255) | 


图 6-120 配置 USG 的 默认 网 关 


3 配置 内 部 子 网 的 地 址 对 象 
进入 USG 的 配置 页 面 , 即 “ 地 址 对 象 ” 页 面 ,可 以 看 到 系统 预定 义 了 一 个 名 为 any 的 
地 址 对 象 , 它 包 括 所 有 的 地 址 0.0.0.0/0, 如 图 6-121 所 示 。 


项 azssps 


6-121 配置 内 部 子 网 的 地 址 对 象 


单 击 “ 新 建 "按钮 创建 地 址 对 象 ,该 地 址 对 象 包括 公司 内 部 子 网 192. 168. 1. 0/24, 如 
图 6-122 所 示 。 


4 配置 NAT 

进入 USG 的 配置 页 面 , 即 NAT 页 面 , 单 击 “ 新 建 "按钮 创建 NAT 规则 。 

NAT 规则 中 的 源 地 址 选择 之 前 创建 的 inside 地 址 对 象 ,目标 地 址 使 用 any 地 址 对 
象 ,服务 使 用 any 服务 对 象 ,出 接口 为 连接 Internet 的 ethl 接口 ,转换 后 源 地 址 为 “出 接 
口 地 址 ”, 即 ethl 接口 的 地 址 ,如 图 6-123 和 图 6-124 所 示 。 


5 配置 安全 策略 
进入 USG 配置 页 面 , 即 “ 安 全 策略 ”页 面 ,如 图 6-125 所 示 。 
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C 机 
@Faheteio2 | 
C 范围 


图 6-125 配置 安全 策略 
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单 击 “ 新 建 " 按 钮 创建 安全 策略 。 在 安全 策略 中 源 接口 为 eth0 接口 ; 源 地 址 为 inside 
地 址 对 象 ;目的 接口 为 ethl 接口 ;目的 地 址 为 any 地 址 对 象 ;服务 为 any 服务 对 象 ;时间 
表 为 always 地 址 对 象 ,代表 任何 时 间 ; 动 作为 PERMIT 允许 ,如 图 6-126 所 示 。 


新 建安 全 策略 


图 6-126 创建 安全 策略 


创建 完 安全 策略 后 ,需要 选择 “启用 ”选项 来 使 该 规则 生效 ,如 图 6-127 所 示 。 


图 6-127 启用 安全 策略 


6 验证 测试 

在 内 部 PC 上 访问 带 有 病毒 的 网 页 (该 病毒 文件 名 为 eicar. com), 并 将 病毒 使 用 
HTTP 进行 下 载 ,如 图 6-128 所 示 。 

注意 : 这 时 如 果 PC 上 安装 了 可 以 检测 出 该 病毒 的 杀毒 软件 , 则 杀毒 软件 会 进行 告 
警 , 并 阻止 下 载 病毒 ,如 图 6-129 所 示 。 

7. 配置 防 病毒 

进入 USG 配置 页 面 , 即 “ 文 件 扫 描 列 表 ” 页 面 ,选择 需要 进行 病毒 扫描 的 文件 类 型 ， 
如 图 6-130 所 示 。 

8 配置 安全 防护 表 

进入 USG 配置 页 面 , 即 “安全 策略 ”页 面 ,选择 “安全 防护 表 ” 选 项 卡 ,如 图 6-131 
所 示 。 
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我 最 近 的 文档 网 上 邻居 


® 


x Vm [ED 国 


保存 类 型 中 JIS-D05 掺 用 程序 S| 甘于) 
图 6-128 下 载 病毒 
局 
国 | 4 | 蒜 | 令 


EICAR Test String 

C:\Documents and Settings\Administrator\Local Sett; 
et and Settings\Adninistrator\Local Sett: 
dninistrator 


| 


图 6-129 ”检测 出 该 病毒 


系 寻 管理 

ia 讼 是 

防水 增 

se "exe 可 
“bat a 

2 * com 可 
Wd SB 

“uy “be 所 
ehta 5 
“ pot | 
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Ri 天 所 
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“x 加 
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图 6-130 选择 需要 进行 病毒 扫描 的 文件 类 型 


248 


图 6-131 配置 安全 防护 表 


单 击 “ 新 建 " 按 钮 创建 安全 防护 表 。 为 安全 防护 表 配 置 名 称 ,选择 并 展开 “ 防 病毒 ”" 选 
项 ,选择 对 HTTP 流量 进行 文件 扫描 ,如 图 6-132 所 示 。 


可 建安 全 防护 表 


图 6-132 创建 安全 防护 表 
仍然 在 该 防护 表 中 选择 并 展开 “日 志 ” 选 项 ,选择 本 地 日 志 中 的 “ 防 病毒 "选项 ,记录 本 
地 日 志 , 如 图 6-133 和 图 6-134 所 示 。 


新 建安 全 防护 表 


一 


图 6-133 选择 本 地 日 志 中 的 “ 防 病毒 ?选项 
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antivirus 


图 6-134 记录 本 地 日 志 


9 将 安全 防护 表 应 用 到 安全 策略 
进入 USG 配置 页 面 , 即 “安全 策略 "页面 ,对 之 前 创建 的 安全 策略 进行 编辑 ,在 “安全 
防护 "下 拉 列 表 中 选择 刚 创建 的 安全 防护 表 , 如 图 6-135 和 图 6-136 所 示 。 


6-135 创建 的 安全 策略 (1) 


FT "rn" 


lnsd lamw lawaw [lay |anms [PEhMT [5 ie 


图 6-136 创建 的 安全 策略 (2) 


10 验证 测试 

在 内 部 PC 上 再 次 访问 之 前 带 有 病毒 的 网 页 (该 病毒 文件 名 为 eicar. com) ,并 将 病毒 
使 用 HTTP 进行 下 载 。 这 时 可 以 看 到 无 法 下 载 ,因为 USG 已 经 将 病毒 过 滤 ,如 图 6-137 
所 示 。 

同时 进入 USG 配置 页 面 , 即 “ 本 地 上 日志? 页面, 选择 “ 防 病毒 日 志 ” 选 项 卡 , 可 以 看 到 
病毒 过 滤 日 志 , 服 务 为 HTTP, 如 图 6-138 所 示 。 
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Microsoft Internet Explorer x 


Internet Explorer 无 法 下 载 sicar.com 来 自 www.eicar.org。 
与 服务 器 的 注 按 被 重 置 


可 
| | | 
图 6-137 ”验证 测试 


图 6-138 选择“ 防 病毒 日 志 ” 选 项 卡 


【注意 事项 】 


。 在 实验 中 ,请 根据 实际 情况 配置 USG 访问 Internet 的 连接 。 
。 在 实验 中 ,强烈 建议 在 客户 端 上 安装 反 病毒 软件 ,以 免 主 机 被 病毒 感染 。 
。 请 勿 将 下 载 成 功 的 病毒 在 网 络 中 传播 。 


6.7 使 用 统一 安全 网 关 过 滤 邮件 病毒 


【实验 名 称 】 

使 用 统一 安全 网 关 过 滤 邮 件 病毒 。 

【实验 目的 】 

使 用 (USG) 统 一 安全 网 关 过 滤 邮 件 (SMTP/POP3 流量 ) 中 的 病毒 。 

背景 描述 】 

某 企业 为 了 提高 网 络 的 安全 性 ,部 署 了 一 台 USG。 但 最 近 公司 发 现 网 络 中 有 很 多 病 
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毒 ,而 且 这 些 病毒 很 多 都 是 通过 电子 邮件 进行 传播 。 公 司 希 望 能 够 对 员工 发 送 和 接收 的 
邮件 进行 病毒 扫描 ,防止 发 送 和 接收 含有 病毒 的 邮件 。 

【需求 分 析 】 


为 了 防止 发 送 和 接收 带 有 病毒 的 邮件 ,提高 网 络 安全 性 ， 
可 以 在 网 络 出 口 处 进行 邮件 病毒 检测 ,阻止 含有 病毒 的 邮件 通 


过 网 关 。 Eth0 
192.168.1.1/24 

【实验 拓扑 】 

如 图 6-139 所 示 的 网 络 拓扑 ,是 某 公司 发 现 网 络 中 有 很 
多 病毒 ,而 且 这 些 病毒 很 多 都 是 通过 电子 邮件 进行 传播 。 公 全 
司 希望 能 够 对 员工 发 送 和 接收 的 邮件 进行 病毒 扫描 ,防止 发 
。 i 图 6-139 统一 安全 网 关 
送 和 接收 含有 病毒 的 邮件 。 企 业 为 了 提高 网 络 的 安全 ,购买 i 
了 一 台 RG-USG 统一 安全 网 关 , 在 网 络 出 口 处 进行 邮件 病毒 网 络 托 扑 图 
检测 ,阻止 含有 病毒 的 邮件 通过 网 关 , 以 实现 网 络 的 安全 防范 
功能 。 

【实验 设备 】 

USG 连接 到 Internet 的 链 路 

USG 1 名 

PC “1 台 ( 安 装 邮件 客户 端 ) 

【预备 知识 】 


。 网 络 基础 知识 。 
。， USG 操作 基础 知识 。 


【实验 原理 】 


USG 集成 了 网 关 病 毒 过 滤 功 能 ,支持 对 邮件 (SMTP/POP3 流量 ) 进 行 病毒 扫描 ,可 
以 将 含有 病毒 的 邮件 过 滤 掉 。 


【实验 步骤 】 


1 配置 U5G 接 口 的 IP 地 址 

如 图 6-140 所 示 , 进 入 USG 的 配置 页 面 , 即 “接口 ”页面 。 

单 击 eth0 接口 的 “编辑 图标, 为 eth0 接口 配置 IP 地 址 及 子 网 掩 码 , 如 图 6-141 
所 示 。 
单 击 ethl 接口 的 “编辑 ?图标 ,为 ethl 接口 配置 IP 地 址 及 子 网 掩 码 。 这 里 ethl 接口 

作为 连接 到 Internet 的 接口 ,请 根据 实际 情况 配置 ethl 接口 的 地 址 信息 。 
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192.168 1.250/24 


图 6-140 进入 USG 的 配置 页 面 


编辑 物理 接口 eth0 


TP 址 腌 码 192 168.1.124 | 


C LzTP CF SSLVPN CF Web 证 


6-141 为 eth0 接口 配置 IP 地 址 


2 配置 USG 的 默认 网 关 
进入 USG 的 配置 页 面 , 即 * 基 本 配置 ?页面 ,在 网 关 地 址 栏 中 ,请 根据 实际 情况 配置 


访问 Internet 的 默认 网 关 地址 ,如 图 6-142 所 示 。 


新 建 身 省 网 关 
同 关 地 址 


坑 重 (1-100) 中 | 
管理 距 训 (1-255) 上 


| oHcp | 


图 6-142 进入 USG 的 配置 页 面 
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3 配置 内 部 子 网 的 地 址 对 象 
进入 USG 的 配置 页 面 , 即 * 地 址 对 象 "页 面 ,可 以 看 到 系统 预定 义 了 一 个 名 为 any 的 


0DDofa 


图 6-143 配置 内 部 子 网 的 地 址 对 象 


单 击 “ 新 建 "按钮 创建 地 址 对 象 ,该 地 址 对 象 包括 公司 内 部 子 网 192. 168. 1. 0/24 ,如 
图 6-144 所 示 。 


192.168.1.0/24 


c#n[ | 
@ 子 同 |192.168.1.024 
Cel[ | | 名 


图 6-144 创建 地 址 对 象 


4 配置 NAT 

进入 USG 的 配置 页 面 , 即 NAT 页 面 , 单 击 “ 新 建 "按钮 创建 NAT 规则 。 

NAT 规则 中 的 源 地 址 选择 之 前 创建 的 inside 地 址 对 象 ,目标 地 址 使 用 any 地 址 对 
象 ,服务 使 用 any 服务 对 象 ,出 接口 为 连接 Internet 的 ethl 接口 ,转换 后 源 地 址 为 “出 接 
口 地 址 ”, 即 ethl 接口 的 地 址 ,如 图 6-145 和 图 6-146 所 示 。 


5 配置 防 病毒 
进入 USG 配置 页 面 , 即 “ 文 件 扫 描 列 表 ” 页 面 ,选择 需要 进行 病毒 扫描 的 文件 类 型 ， 
如 图 6-147 所 示 。 
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NAT 规 则 
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图 6-147 进入 USG 配置 页 面 


6 配置 安全 防护 表 
进入 USG 配置 页 面 , 即 “ 安 全 策略 ”页 面 ,选择 “安全 防护 表 ” 选 项 卡 ,如 图 6-148 
所 示 。 


图 6-148 配置 安全 防护 表 
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单 击 “ 新 建 "按钮 创建 安全 防护 表 。 为 安全 防护 表 配 置 名 称 , 选 择 并 展开 “ 防 病 毒 " 选 
项 ,选择 对 IMAP、POP3 和 SMTP 流量 进行 文件 扫描 ,如 图 6-149 所 示 。 


新 建安 全 防护 表 


图 6-149 创建 安全 防护 表 


仍然 在 该 防护 表 中 选择 并 展开 “日 志 ” 选 项 ,选择 本 地 日 志 中 的 “ 防 病毒 "选项 ,记录 本 
地 日 志 , 如 图 6-150 和 图 6-151 所 示 。 


ms | 


以 国 国 加 加 国民 


6-150 ”选择 本 地 日 志 中 的 “ 防 病毒 ”选项 


ant-virus E 


6-151 记录 本 地 日 志 


7. 配置 安全 策略 
进入 USG 配置 页 面 , 即 “安全 策略 ”页面 ,如 图 6-152 所 示 。 
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图 6-152 进入 USG 配置 页 面 


单 击 “新 建 ?按钮 创建 安全 策略 。 在 安全 策略 中 源 接 口 为 eth0 接口 ; 源 地 址 为 inside 
地 址 对 象 ; 目 的 接口 为 ethl 接口 ;目的 地 址 为 any 地 址 对 象 ;服务 为 any 服务 对 象 ;时 间 
表 为 always 地 址 对 象 , 代 表 任 何 时 间 ; 动 作为 PERMIT 允许 ;在 “安全 防护 ”下 拉 列 表 中 
选择 之 前 创建 的 安全 防护 表 , 如 图 6-153 所 示 。 


编辑 安全 策略 


ethO E| 
inside 国 


[FE | 


[antivinus 是 


图 6-153 ”创建 安全 策略 


创建 完 安全 策略 后 ,需要 选择 “启用 ”选项 来 使 该 规则 生效 ,如 图 6-154 所 示 。 


图 6-154 启用 安全 策略 
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8 验证 测试 
在 内 部 PC 上 使 用 邮件 客户 端 (例如 Outlook Express) 发 送 合法 的 .不 含有 病毒 的 邮 
件 , 可 以 成 功 发 送 ,并且 收 件 人 可 以 成 功 接收 到 邮件 ,如 图 6-155 所 示 。 


了 [可 至 |BZEA| 汪 :> 


testmail 


图 6-155 ”验证 测试 


然后 再 使 用 邮件 客户 端 发 送 带 有 病毒 样本 附件 (acid. zip) 的 邮件 ,此 时 邮件 客户 端 提 
示 无 法 发 送 邮 件 , 如 图 6-156 所 示 。 


到 
从 FE 
1 atAO)| 


任务 钱 误 | 


9 下 论 人 人 “发 人 和 " 字 外 文件 中 打开 幅 Ce 区 cen 有 
1 SHE 区 0: 汪 安 全 6 


D2 将 。 其 可 能 原因 包括 服务 器 出 材 、 网 络 出 错 或 长 时 间 


bE, 有 163. 人 务 器 
总 si 


1005: 给 江 时 ozo0zcEo” 


已 完成 0 项 任务 殿 1 项 ) 项 


6-156 ”邮件 客户 端 提示 无 法 发 送 邮 件 


进入 USG 配置 页 面 , 即 “ 本 地 日 志 ” 页 面 ,选择 “ 防 病 毒 日 志 ” 选 项 卡 ,可 以 看 到 病毒 
过 滤 日 志 , 服 务 为 SMTP, 如 图 6-157 所 示 。 
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192 150.1.100 202 1065.92|00.15:f2:de 96:4 
192.158.1.100 202.1095.82| 00115:f2:dc 96:4 


EEE 


图 6-157 进入 USG 配置 页 面 


【注意 事项 】 


。 在 实验 中 ,请 根据 实际 情况 配置 USG 访问 Internet 的 连接 。 

。 在 实验 中 ,强烈 建议 在 客户 端 上 安装 反 病毒 软件 ,以 免 主 机 被 病毒 感染 。 

。 请 勿 将 病毒 样本 在 网 络 中 传播 。 

。 由 于 Internet 中 的 很 多 邮件 服务 器 也 都 对 邮件 进行 病毒 扫描 与 过 滤 ,所 以 为 了 使 
该 实验 效果 更 加 明显 和 直观 ,本 实验 使 用 USG 检测 内 部 向 外 部 发 送 的 邮件 。 当 
使 用 USG 检测 外 部 向 内 部 发 送 的 邮件 时 ,有 可 能 在 USG 上 看 不 到 记录 日 志 , 这 
是 因为 Internet 中 的 邮件 服务 器 已 经 将 邮件 中 的 病毒 过 滤 掉 了 。 


6.8 配置 邮件 大 小 过 滤 


【实验 名 称 】 
配置 邮件 大 小 过 滤 。 


【实验 目的 】 
使 用 (USG) 统 一 安全 网 关 根据 邮件 大 小 进行 邮件 过 滤 。 


【背景 描述 】 


某 企业 为 了 提高 网 络 的 安全 性 ,部 署 了 一 台 USG。 但 最 近 公司 发 现 许多 员工 在 发 送 
邮件 时 ,经 常 附 带 容量 很 大 的 附件 ,使 整个 邮件 的 容量 变 得 很 大 ,严重 影响 了 邮件 系统 的 
正常 工作 。 公 司 希 望 能 够 对 员工 向 外 部 发 送 的 邮件 大 小 进行 限制 ,不 允许 员工 发 送 大 小 
超过 1MB 的 邮件 。 


【需求 分 析 】 


为 了 实现 对 邮件 大 小 进行 监控 和 限制 ,可 以 使 用 USG 的 邮件 过 滤 功 能 ,只 允许 用 户 
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发 送 小 于 许可 容量 大 小 的 邮件 。 


【实验 拓扑 】 


如 图 6-158 所 示 的 网 络 拓扑 ,是 企业 为 了 提高 网 络 的 安全 ， 
购买 的 一 台 RG-USG 统一 安全 网 关 。 网 络 管理 员 发 现 最 近 公司 
发 现 许多 员工 在 发 送 邮 件 时 ,经 常 附带 容量 很 大 的 附件 ,使 整个 。 ”Emo 
邮件 的 容量 变 得 很 大 ,严重 影响 了 邮件 系统 的 正常 工作 。 公 司 “114 
希望 能 够 对 员工 向 外 部 发 送 的 邮件 大 小 进行 限制 ,不 允许 员工 
发 送 大 小 超过 1M 的 邮件 ,现在 需要 登录 到 USG 并 对 其 进行 基 


本 配置 ,使 用 USG 的 邮件 过 滤 功 能 ,只 允许 用 户 发 送 小 于 许可 邮件 客户 端 
容量 大 小 的 邮件 。 192.168.1.100/24 
图 6-158 配置 邮件 大 小 过 
【实验 设备 】 滤 网 络 拓扑 图 
USG 连接 到 Internet 的 链 路 
USG 1 台 
PC 1 台 ( 安 装 邮件 客户 端 ) 
【预备 知识 】 


。 网 络 基础 知识 。 
。 USG 操作 基础 知识 。 


【实验 原理 】 


USG 支持 对 邮件 进行 过 滤 。USG 不 仅 可 以 对 邮件 的 发 件 人 主题 等 进行 过 滤 ,还 可 
以 限制 邮件 的 大 小 。 


【实验 步骤 】 


1 配置 USG 接 口 的 IP 地址 

如 图 6-159 所 示 , 进 入 USG 的 配置 页 面 , 即 “接口 ?页 面 。 

单 击 eth0 接口 的 “编辑 "图标 ,为 eth0 接口 配置 IP 地 址 及 子 网 掩 码 , 如 图 6-160 
所 示 。 
单 击 ethl 接口 的 “编辑 "图标 ,为 ethl 接口 配置 IP 地 址 及 子 网 掩 码 。 这 里 ethl 接口 
作为 连接 到 Internet 的 接口 ,请 根据 实际 情况 配置 ethl 接口 的 地 址 信息 。 


2 配置 USG 的 默认 网 关 
进入 USG 的 配置 页 面 , 即 * 基 本 配置 页 面 ,在 网 关 地 址 栏 中 ,请 根据 实际 情况 配置 
访问 Internet 的 默认 网 关 地址 ,如 图 6-161 所 示 。 
3 配置 内 部 子 网 的 地 址 对 象 
进入 USG 的 配置 页 面 , 即 “ 地 址 对 象 ” 页 面 ,可 以 看 到 系统 预定 义 了 一 个 名 为 any 的 
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192,168 1.250/24 


图 6-159 进入 USG 的 配置 页 面 (1) 


编辑 物理 接口 eth0 


地 址 模式 者 过 CDHcp © pppoE 


1p 地 址 / 短 码 。” [192.168.1.1/24 | 


区 HTTPS 区 pING CENET CD ssH 
三 HTTP 厂 集中 监控 
C LTp CT SSLVPN 三 Web 证 


同 关 地 址 
权重 (1-100) 


6-161 进入 USG 的 配置 页 面 (2) 


地 址 对 象 , 它 包括 所 有 的 地 址 0.0.0.0/0, 如 图 6-162 所 示 。 
单 击 * 新 建 ?按钮 创建 地 址 对 象 ,该 地 址 对 象 包括 公司 内 部 子 网 192. 168. 1. 0/24, 如 
图 6-163 所 示 。 
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图 6-162 配置 内 部 子 网 的 地 址 对 象 


主机 
可 子 同 |192 168.1.0/24 
C 范围 加 


图 6-163 ”创建 地 址 对 象 


4 配置 NAT 

进入 USG 的 配置 页 面 , 即 NAT 页 面 , 单 击 “ 新 建 "按钮 创建 NAT 规则。 

NAT 规则 中 的 源 地 址 选择 之 前 创建 的 inside 地 址 对 象 , 目标 地 址 使 用 any 地 址 对 
象 ,服务 使 用 any 服务 对 象 ,出 接口 为 连接 Internet 的 ethl 接口 ,转换 后 源 地 址 为 “出 接 
口 地 址 ”, 即 ethl 接口 的 地 址 ,如 图 6-164 和 图 6-165 所 示 。 


新 建 源 地 址 转换 


图 6-164 配置 NAT(1) 
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图 6-165 配置 NAT(2) 


5 配置 邮件 过 滤 
进入 USG 配置 页 面 , 即 * 邮 件 过 滤 ” 页 面 , 选 择 * 邮 件 大 小 过 滤 ? 选 项 卡 , 将 邮件 大 小 
限制 为 1MB, 如 图 6-166 所 示 。 
邮件 大 小 过 源 
邮件 大 小 过 渡 


图 6-166 配置 邮件 过 滤 


6 配置 安全 防护 表 
进入 USG 配置 页 面 , 即 “安全 策略 ”页面 ,选择 “安全 防护 表 ” 选 项 卡 ,如 图 6-167 
所 示 。 


6-167 配置 安全 防护 表 


单 击 “ 新 建 ”按钮 创建 安全 防护 表 。 为 安全 防护 表 配 置 名 称 , 选 择 并 展开 “邮件 过 滤 ” 
选项 ,选择 “邮件 大 小 屏蔽 ”选项 ,如 图 6-168 所 示 。 


天 十 实 全 防护 表 


Ee lee) 


图 6-168 创建 安全 防护 表 
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仍然 在 该 防护 表 中 选择 并 展开 “日 志 ” 选 项 ,选择 本 地 日 志 中 的 “邮件 过 滤 ” 选 项 ,记录 
本 地 日 志 , 如 图 6-169 和 图 6-170 所 示 。 


MalSze 


图 6-170 记录 本 地 日 志 


7. 配置 安全 策略 
进入 USG 配置 页 面 , 即 “ 安 全 策略 "页面 ,如 图 6-171 所 示 。 


图 6-171 配置 安全 策略 


单 击 “ 新 建 "按钮 创建 安全 策略 。 在 安全 策略 中 源 接口 为 eth0 接口 ; 源 地 址 为 inside 
地 址 对 象 ;目的 接口 为 ethl 接口 ;目的 地 址 为 any 地 址 对 象 ;服务 为 any 服务 对 象 ; 时 间 
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表 为 always 地 址 对 象 ,代表 任何 时 间 ; 动 作为 PERMIT 允许 ;在 “安全 防护 ”下 拉 列 表 中 
选择 之 前 创建 的 安全 防护 表 MailSize, 如 图 6-172 所 示 。 
新 建安 全 策略 


eth0 


inside 司 


PERMIT 司 


MailSize 司 


图 6-172 创建 安全 策略 


创建 完 安全 策略 后 ,需要 选择 “启用 ”选项 使 该 规则 生效 ,如 图 6-173 所 示 。 


Lv 6 TI < CT = GE 


linsce jay lawas |amw [nasee |pEFVIT | MG E 
图 6-173 启用 安全 策略 


8 验证 测试 
首先 在 客户 端 上 使 用 邮件 客户 端 ( 例 如 Outlook Express) 发 送 小 于 1MB 的 邮件 ,可 


以 成 功 发 送 , 如 图 6-174 所 示 。 


Srclp=192.168,1,100 DstI 08.583 Protocol=TCP Srcport=3729 DstPort=25 
2008-09-02 13;33;16 | 配置 审计 通知 | Srclp=192.,168.1.100 UserName=admir Operate="mod security_protection configu 
2008-09-02 13:33:08 | 配置 审计 通知 | Srclp=192.168.1.100 UserName=admir Operate="mod security_protection configu 


图 6-174 验证 测试 (1) 


2008-09-02 13:33:42 通知 


器 


四 


然后 再 发 送 一 个 大 于 1MB 的 含 附件 的 邮件 ,不 能 成 功 发 送 。 说 明 USG 的 邮件 过 滤 


功能 生效 ,将 超过 1MB 的 邮件 过 滤 掉 了 ,如 图 6-175 所 示 。 
进入 USG 配置 页 面 , 即 “ 本 地 日 志 ” 页 面 ,选择 “事件 日 志 ” 选 项 卡 ,可 以 看 到 由 于 邮件 过 


大 ,导致 邮件 被 过 滤 的 日 志 。 日 志 中 显示 类 型 为 邮件 过 滤 ,原因 是 mail size is too long。 
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3 protopcol=TCP Srcport=3729 Dstport=25 Ininterface=athO DutInterface=ethl FwPolicyID=1 Action=Deny Content="malil siza is too long” 
Wperate="mod security_protection configuration" ManageStyle=WEB Content="operation success” 
perate="mod security_protection configuraton" ManageStyle=WEB Content="nperation Success™ 


6-175 ”验证 测试 (2) 


【注意 事项 】 


。 在 实验 中 ,请 根据 实际 情况 配置 USG 访问 Internet 的 连接 。 
。 邮件 过 滤 是 针对 SMTP 的 流量 (通常 使 用 邮件 客户 端 发 送 的 邮件 ) 进 行 过 滤 , 对 
于 使 用 Web 邮箱 ( 即 HTTP) 的 邮件 无 效 。 


6.9 ”使 用 统一 安全 网 关 实 现 入 侵 防 御 


【实验 名 称 】 

使 用 统一 安全 网 关 实 现 入 侵 防 御 。 

【实验 目的 】 

利用 USG( 统 一 安全 网 关 ) 的 人 侵 防御 (IPS) 功 能 ,检测 并 阻止 网 络 攻击 。 

【背景 描述 】 

某 公司 使 用 USG 作为 网 络 出 口 设备 连接 到 Internet, 并 且 公司 内 部 有 一 台 对 外 提供 
服务 的 Web 服务 器 。 最 近 网 络 管理 员 发 现 Internet 中 有 人 向 Web 服务 器 发 起 攻击 , 影 
响 了 服务 器 的 正常 运行 。 公 司 希 望 阻止 病毒 
入 侵 服 务 器 。 

【需求 分 析 】 


要 防止 来 自 外 部 网 络 的 攻击 ,可 以 使 用 
USG 的 入 侵 防御 功能 。 


【实验 拓扑 】 


如 图 6-176 所 示 的 网 络 拓扑 ,是 企业 为 了 
提高 网 络 的 安全 ,购买 了 一 台 RG-USG 统一 Server 

安全 网 关 ,公司 使 用 USG 作为 网 络 出 口 设 备 人 

连接 到 Internet, 并 且 公 司 内 部 有 一 台 对 外 提 图 6-176 ”统一 安全 网 关 实 现 人 侵 
供 服务 的 Web 服务 器 。 最 近 网 络 管理 员 发 现 防御 网 络 拓扑 图 
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Internet 中 有 人 向 Web 服务 器 发 起 攻击 ,影响 了 服务 器 的 正常 运行 。 现 在 需要 登录 到 
USG 并 对 其 进行 基本 配置 ,防止 来 自 外 部 网 络 的 攻击 ,可 以 使 用 USG 的 入 侵 防御 功能 ， 
实现 网 络 的 安全 防范 功能 。 


【实验 设备 】 
USG uk 竹 
Windows 2000 Server 1 台 ( 未 安装 Service Packet ,模拟 被 攻击 机 ,并 且 安 装 IIS 服务 ) 


缓冲 区 溢出 攻击 工具 imap_exp. exe 
IIS 攻击 工具 GUI Unicode. exe 


【预备 知识 】 


。 网络 基础 知识 。 
。 USG 操作 基础 知识 。 


【实验 原理 】 


USG 的 入 侵 防 御 (IPS) 功 能 可 以 对 大 量 的 入 侵 攻 击 进行 检测 和 阻 断 。 当 USG 发 现 
数据 流 中 存在 恶意 代码 ,或 者 具有 攻击 特征 时 ,会 对 攻击 进行 报警 ,并 采取 相应 的 阻 断 
措施 。 


【实验 步骤 】 


1. 配置 USG 接 口 的 IP 地 址 
如 图 6-177 所 示 , 进 入 USG 的 配置 页 面 , 即 “ 接 口 ”页 面 。 


192.158,1.250j24 


Gos 


6-177 进入 USG 的 配置 页 面 


单 击 eth0 接口 的 “编辑 "图标 ,为 eth0 接口 配置 IP 地 址 及 子 网 掩 码 , 如 图 6-178 
所 示 。 
单 击 ethl 接口 的 “编辑 ”图 标 ,为 ethl 接口 配置 IP 地 址 及 子 网 掩 码 , 如 图 6-179 
所 示 。 
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编辑 物理 接口 eth0 


© DHcp C pppoE 


p 培 址 / 捷 码 ”[192.168.1.1/24 | 


区 HTTPPS 区 PING CTELNET CC ssH 
厂 HTTP 三 集中 监控 
C2 CT ssLvpN CT Web 证 


吉 才 C DHcp C pppoE 


1p 在 讲 码 [11.1.1/24 ] 


区 HTTPP5 区 PING 记 TELNET CT ssH 
三 HTTP 。 万 集中 监控 
C LTrp CSSLVPN FT Web 证 


6-179 为 ethl 接口 配置 IP 地 址 


接口 配置 IP 地 址 后 的 状态 如 图 6-180 所 示 。 


192,168.1.1/24 HTTPSPING 
1.11124 HTTPSPING 


HTTPSPING 


图 6-180 ”接口 配置 地 址 后 的 状态 


2 配置 静态 NAT 转 换 
为 了 使 Internet 中 的 用 户 可 以 访问 内 部 的 FTP 服务 器 ,需要 在 USG 上 配置 静态 
NAT 转换 ,将 服务 器 发 布 到 Internet 中 ,如 图 6-181 所 示 。 
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6-181 配置 静态 NAT 转换 


进入 USG 配置 页 面 , 即 NAT 页 面 ,选择 “静态 地 址 转换 ” 单 选 按 钮 。 

单 击 “ 新 建 "按钮 创建 静态 地 址 转换 规则 。 规 则 中 的 “外 部 地 址 ”为 服务 器 对 外 发 布 的 
地 址 ;* 内 部 地 址 ”为 服务 器 实际 的 内 部 地 址 ;“ 外 部 接口 ”为 连接 Internet 的 ethl 接口 ,如 
图 6-182 所 示 。 


新 建 静态 地 址 转换 


外 部 地 址 
内 部 地 址 192.168.1.10 


图 6-182 创建 静态 地 址 转换 规则 


3 配置 安全 防护 表 
进入 USG 配置 页 面 , 即 “ 安 全 策略 ”页 面 ,选择 “安全 防护 表 ” 选 项 卡 ,如 图 6-183 


图 6-183 配置 安全 防护 表 


单 击 “ 新 建 "按钮 创建 安全 防护 表 。 为 安全 防护 表 配 置 名 称 , 选 择 并 展开 “入 侵 防御 ” 
选项 ,选择 All 事件 集 ,表示 USG 将 为 流量 匹配 所 有 的 事件 (特征 )。 然 后 选择 并 展开 “日 
志 ” 选 项 ,选择 本 地 日 志 中 的 “入 侵 防御 ”选项 ,记录 本 地 日 志 , 如 图 6-184 和 图 6-185 
所 示 。 


4 配置 安全 策略 


进入 USG 配置 页 面 , 即 “ 地 址 对 象 * 页 面 ,配置 包含 内 部 服务 器 的 地 址 对 象 ,如 
图 6-186 所 示 。 
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入 虹 肝 韶 忆 | [io 国 Cs 加 局 上 加 


6-184 创建 安全 防护 表 


Es 


6-185 ”记录 本 地 日 志 


图 6-186 配置 安全 策略 


单 击 “ 新 建 " 按 钮 创建 地 址 对 象 ,地 址 为 服务 器 的 内 部 地 址 192. 168. 1. 10, 如 图 6-187 
所 示 。 


192.168.1.10 


Mm 921610 
C 子 同 
oaal 上 le 


6-187 创建 地 址 对 象 
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进入 USG 配置 页 面 , 即 “ 安 全 策略 ”页 面 ,配置 允许 外 部 访问 内 部 服务 器 的 安全 
策略 。 

单 击 “ 新 建 "按钮 创建 安全 策略 。 在 安全 策略 中 源 接口 为 ethl 接口 ; 源 地 址 为 any 地 
址 对 象 ;目的 接口 为 eth0 接口 ;目的 地 址 为 Server 地 址 对 象 ;服务 为 any 服务 对 象 ;时 间 
表 为 always 地 址 对 象 , 代 表 任 何 时 间 ; 动 作为 PERMIT 允许 ;在 “安全 防护 ”下 拉 列 表 中 
选择 刚刚 创建 的 安全 防护 表 IPS ,如 图 6-188 所 示 。 


新 建安 全 策略 


图 6-188 创建 安全 策略 


创建 完 安全 策略 后 ,需要 选择 “启用 ”选项 使 该 规则 生效 ,如 图 6-189 所 示 。 


图 6-189 启用 安全 策略 


5 验证 测试 

在 模拟 内 网 的 内 部 PC 上 安装 Windows IIS 组件, 并 建立 Web 站 点 。 在 模拟 外 网 
的 外 部 PC 上 使 用 ping 测试 命令 测试 访问 服务 器 的 连通 性 ,可 以 ping 通 , 如 图 6-190 
所 示 。 


6 实施 缓冲 区 溢出 攻击 
在 服务 器 (被 攻击 机 ) 的 命令 行 界面 中 运行 nc. exe, 此 时 服务 器 的 389(LDAP) 端 口 将 
被 打开 ,如 图 6-191 和 图 6-192 所 示 。 
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图 6-190 ”验证 测试 


图 6-191 实施 缓冲 区 溢出 攻击 (1) 


Local hddre， re State 
0.0.0.0:21 .9.90.0: LISTENING 
0.0.0. LISTENING 
0.0.0.0:80 0.0.9.9:8 LISTENING 
0.0.0 0.90.9.0:0 LISTENING 
0.0.0.0: 9.0.9.0:0 LISTENING 
0.0.0.0 0.9.9.9:8 LISTENING 
0.0.0.0:445 9.9.8.0:0 LISTENING 
09.9.0 0.0.9.0:0 LISTENING 
0.0.0.0:3389 0.9.9.9:8 LISTENING 
127.0.0. 0.0.0.0:0 LISTENING 
27.0.0.1:4395 8.6.9.9:9 LISTENING 


图 6-192 实施 缓冲 区 溢出 攻击 (2) 


在 外 部 PC( 攻 击 主机 ) 的 命令 行 界面 中 运行 imap_exp. exe 进行 攻击 ,命令 格式 如 
图 6-193 所 示 。 

此 时 进入 USG 配置 页 面 , 即 “ 本 地 日 志 ” 页 面 ,选择 “入 侵 防 御 日 志 ” 选 项 卡 ,可 以 看 
到 USG 检测 到 该 缓冲 区 溢出 攻击 ,并 进行 了 告警 , 且 动 作为 “丢弃 会 话 ”(DROP _ 
SESSION) ,如 图 6-194 所 示 。 


7. 实施 IIS 服务 攻击 

在 外 部 PC( 攻 击 主机 ) 上 运行 GUIL_ Unicode. exe 程序 进行 攻击 ,如 图 6-195 所 示 。 

此 时 进入 USG 配置 页 面 , 即 “本 地 上 日志 ?页面 ,选择 “和 人 侵 防 御 日 志 ” 选 项 卡 , 可 
以 看 到 USG 检测 到 该 攻击 ,并 进行 告警 , 且 为 复位 连接 RESET, 如 图 6-196 
所 示 。 
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lc: yea tool 
lc: \Tools Yinap_exp 


THCinail vB.1 - Inail LDAP exploit 
tested on Inail 6-8 


08> ClInail Version 
THCimail 194.44.55.56 日 


Windows 2989 Server english all service pack 
Windows 2800 Professional gernan 
Windows XP SP1 german 


Inail Version 
Inail 6 
Inail 


il LDAP exploit 


图 6-194 ”选择 “入 侵 防 御 日 志 ” 选 项 卡 


[GuT unicode Ei| 
-IDS Performance Test Fore Event Generating Tools 
Target IP : 1 1 1 .10 


Mttack Comt : [eu unicose 国 
Delay Between Packets : |1 [ms] A Cant connect target host on port 80 
Count of Finished 


Please ensure the target host is on Ine 


and port 80 is lstening 


Stop Exit 


6-195 实施 IIS 服务 攻击 
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入 侵 防御 日志 


图 6-196 ”选择 “人 侵 防御 日 志 ? 选 项 卡 


【注意 事项 】 
本 实验 涉及 的 攻击 工具 只 能 用 于 实验 。 


610 会 话 监控 与 管理 


【实验 名 称 】 

会 话 监控 与 管理 。 

【实验 目的 】 

监控 USG( 统 一 安全 网 关 ) 中 的 会 话 流 ,并 对 会 话 进行 管理 。 

【背景 描述 】 

某 公 司 使 用 USG 作为 网 络 出 口 设备 连接 到 Internet ,并 且 公司 内 部 有 一 台 对 外 提供 
服务 的 服务 器 。 最 近 网 络 管理 员 发 现 ,在 网 络 中 出 现 大 量 来 自 Internet 的 访问 服务 器 的 


连接 ,消耗 了 服务 器 大 量 系统 资源 。 管 理 员 怀疑 该 现象 是 恶意 行为 所 导致 ,并 希望 能 够 及 
时 将 攻击 源 进行 阻 断 。 


【需求 分 析 】 

通过 监控 USG 的 会 话 表 ,可 以 查看 流 经 
USG 的 非法 的 、 恶 意 的 连接 ,并 且 对 该 会 话 进 
行 阻 断 。 

【实验 拓扑 】 


如 图 6-197 所 示 的 网 络 拓扑 ,是 企业 为 了 
提高 网 络 的 安全 ,购买 了 一 台 RG-USG 统一 
安全 网 关 , 作 为 网 络 出 口 设备 连接 到 Internet， 


攻击 者 
1.1.1.2/24 


Web Server 


并 且 公 司 内 部 有 一 台 对 外 提供 服务 的 服务 器 。 192.168.1.10/24 
最 近 网 络 管理 员 发 现 ,在 网 络 中 出 现 大 量 来 自 ”图 6-197 会 话 监控 与 管理 网 络 拓扑 图 
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Internet 的 访问 服务 器 的 连接 ,消耗 了 服务 器 大 量 系 统 资源 。 管 理 员 怀疑 该 现象 是 恶意 
行为 所 导致 ,并 希望 能 够 及 时 地 将 攻击 源 进行 阻 断 。 现 在 需要 登录 到 USG 并 对 其 进行 
基本 配置 ,通过 监控 USG 的 会 话 表 ,可 以 查看 流 经 USG 的 非法 的 .恶意 的 连接 ,并 且 对 
该 会 话 进行 阻 断 ,以 实现 网 络 的 安全 防范 功能 。 


【实验 设备 】 

USG 1 台 

PC 2 台 ( 一 台 作 为 Web 服务 器 ; 另 一 台 模 拟 外 部 网 络 的 攻击 者 ) 
TCP 连接 工具 


【预备 知识 】 


。 网 络 基础 知识 。 
。 USG 操作 基础 知识 。 


【实验 原理 】 


USG 提供 了 强大 的 监控 功能 ,可 以 查看 到 通过 USG 的 连接 和 会 话 ,并 且 提 供 了 对 会 
话 的 管理 限制 功能 ,可 以 及 时 对 可 疑 的 会 话 进行 阻 断 。 


【实验 步骤 】 


1. 配置 USG 接 口 的 IP 地 址 
如 图 6-198 所 示 , 进 入 USG 的 配置 页 面 , 即 “接口 ”页面 。 


192 .168 1.250/24 


6-198 进入 USG 的 配置 页 面 


单 击 eth0 接口 的 “编辑 ”图 标 ,为 eth0 接口 配置 IP 地 址 及 子 网 掩 码 , 如 图 6-199 
所 示 。 

单 击 ethl 接口 的 “编辑 ”图 标 ,为 ethl 接口 配置 IP 地 址 及 子 网 掩 码 , 如 图 6-200 
所 示 。 
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编辑 物理 接口 eth0 


© DHcp © pppoE 


TIP 地 址 腌 码 |192.168.1.1/24 


区 HTTPS 区 PING C TELNET CG ssH 
记 HTTP 三 集中 八 控 
C2 CSSLVPN CT webiiE 


人 者 志 C DHcp © pppoE 


Emo 


区 HTTPP5 区 pING TTELNET FT ssH 
厂 HTTP 。 厂 集中 监控 
Tzmp FT ssLVpN 三 Web 证 


6-200 为 ethl 接口 配置 IP 地 址 


接口 配置 IP 地 址 后 的 状态 如 图 6-201 所 示 。 


192,168.1.1/24 HTTPSPING 
1.1.11/24 HTTPSPING 


图 6-201 接口 配置 耳 地 址 后 的 状态 


2 配置 静态 NAT 转 换 
为 了 使 Internet 中 的 用 户 可 以 访问 内 部 的 Web 服务 器 ,需要 在 USG 上 配置 静态 
NAT 转换 ,将 Web 服务 器 发 布 到 Internet 中 ,如 图 6-202 所 示 。 
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6-202 配置 静态 NAT 转换 


单 击 “ 新 建 "按钮 创建 静态 地 址 转换 规则 。 规 则 中 的 “外 部 地 址 ”为 Web 服务 器 对 外 
发 布 的 地 址 ;“ 内 部 地 址 ”为 Web 服务 器 实际 的 内 部 地 址 ;“ 外 部 接口 ”为 连接 Internet 的 
ethl 接口 ,如 图 6-203 所 示 。 


新 建 静 态 地 址 转换 


外 部 地 址 .1.1.10 ] 
内 部 寺 址 192 168.1.10 ] 


外 部 接口 eth1 


万 Syslog 日 老 


图 6-203 创建 静态 地 址 转换 规则 


3 配置 安全 策略 
首先 进入 USG 配置 页 面 , 即 “ 地 址 对 象 ”* 页 面 ,配置 包含 内 部 FTP 服务 器 的 地 址 对 
象 ,如 图 6-204 所 示 。 


地 Hb 对 全 


图 6-204 配置 安全 策略 


单 击 “ 新 建 ” 按 钮 创建 地 址 对 象 ,地 址 为 Web 服务 器 的 内 部 地 址 192. 168. 1. 10 ,如 
图 6-205 所 示 。 

进入 USG 配置 页 面 , 即 “安全 策略 "页面 ,配置 允许 外 部 访问 FTP 服务 器 的 安全 
策略 。 

单 击 “ 新 建 "按钮 创建 安全 策略 。 在 安全 策略 中 源 接口 为 ethl 接口 ; 源 地 址 为 any 地 
址 对 象 ;目的 接口 为 eth0 接口 ;目的 地 址 为 Server 地 址 对 象 ; 服 务 为 http 服务 对 象 ; 时 间 
表 为 always 地 址 对 象 , 代 表 任 何 时 间 ; 动 作为 PERMIT 允许 ,如 图 6-206 所 示 。 

创建 完 安全 策略 后 ,需要 选择 “启用 ”选项 使 该 规则 生效 ,如 图 6-207 所 示 。 
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192.168.1.10 


@ EM [921681.10 
C 了 网 
广 范围 | 


图 6-207 启用 安全 策略 


4 验证 测试 
在 内 部 PC 上 搭建 Web 服务 器 ,并 进行 相应 的 配置 。 在 外 部 PC 上 测试 访问 Web 服 
务 器 的 连通 性 ,注意 这 里 使 用 的 目标 地 址 为 1. 1. 1. 10。 


5 建立 到 达 Web 服 务 器 的 连接 
在 外 部 PC 上 使 用 TCP 连接 工具 向 Web 服务 器 (1. 1. 1. 10) 建 立 大 量 的 连接 。 此 时 
在 Web 服务 器 上 通过 Windows 命令 netstat -an 可 以 看 到 外 部 主机 与 Web 服务 器 的 80 
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端口 建立 了 大 量 的 TCP 连接 ,如 图 6-208 所 示 。 


SHED 
SHED 
TABLISHED 
STABLI 
STAB 
TABLI 
TABLISHED 
SHED 
SHED 
TABLISHED 
TABLISHED 
‘STABLISHED 
‘STABLISHED 
TABLISHED 
TABLISHED 
STABLISHED 
TABLISHED 
TABLISHED 
‘STABLISHED 
STABLISHED 
TABLISHED 
TABLISHED 
ThBLISHED 
ESTABLISHED 
ESTABLISHED 


图 6-208 ”建立 访问 Web 服务 器 连接 


6 查看 USG 会 话 表 
进入 USG 配置 页 面 , 即 “会 话 管理 ?页面 , 选 0 
查看 USG 的 会 话 状 态 表 , 可 以 看 到 大 量 来 自 1 
接 , 如 图 6-209 所 示 。 


:” 选 项 卡 , 单 击 图 按钮 a 以 
2 访问 1.1.1. 10 的 80 端口 的 全 


HE 


一 一 Ee Mi B77 2 al 区 


图 6-209 查看 USG 会 话 表 


7 阻 断 会 话 
如 果 在 会 话 表 中 发 现 可 疑 的 会 话 , 那 么 可 以 单 击 会 话 的 阻 断 图 标 医 司 , 这 时 我 们 可 以 
建立 临时 阻 断 条 目 , 这 里 认为 来 自 1. 1. 1. 2 的 会 话 为 恶意 连接 ,因此 需要 阻 断 其 建立 连 
接 。 可 以 单 击 会 话 的 删除 图 标 园 来 清除 该 会 话 。 
a 
号 和 阻 断 时 间 ,并 且 在 该 时 间 内 禁止 符合 阻 断 条 目的 会 话 通过 。 在 本 实验 中 我 们 阻 
a LE 接 ,如 图 6-210 所 示 。 
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协议 

源 IP/ 子 网 

源 甘 口 /范围 
目的 IP7 子 同 
目的 端口 /范围 
阻 断 时 间 


图 6-210 阻 断 会 话 


创建 完 临 时 阻 断 条 目 后 ,可 以 再 配置 页 面 , 即 “会 话 管理 ”页 面 ,选择 “临时 阻 断 ” 选 项 
卡 ,查看 阻 断 条 目 , 如 图 6-211 所 示 。 


图 6-211 查看 阻 断 条 目 


8 验证 测试 

在 外 部 PC 上 再 次 使 用 TCP 连接 工具 向 Web 服务 器 (1. 1. 1. 10) 建 立 大 量 的 连接 。 
此 时 在 Web 服务 器 上 通过 Windows 命令 netstat-an 可 以 看 到 没有 任何 连接 建立 ,因为 
USG 已 经 将 会 话 建立 请 求 丢弃 ,如 图 6-212 所 示 。 


C:\INDOYS\systen32\cnd exe 
Addre Foreign Addre tate 

0.0.0.0 80.90.98.9:0 LISTENING 
0.0.0.0: 9.9.9.9:9 LISTENING 
0.0.0.0:8! 0.0.9.0:0 LISTENING 
0.0.0.0:135 90.8.6.8:0 LISTENING 
0.0.0.0:443 08.80.98.9:8 LISTENING 
0.0.0.0:445 0.9.9.90:9 LISTENING 
RRED 0.8.9.90:0 LISTENING 
8.9.9.9:3389 8.B.B.9:8 LISTENING 
127.0.0, 0.9.9.0:0 LISTENING 
127.9.8 0.9.9.9:8 LISTENING 
192.168 ] 0.8.90.0:0 LISTENING 
0.0.0.0 wi 

0.0.0.0:5! 


1 
1 
127. 
1 
19 


gs Adninistrator 


图 6-212 ”验证 测试 


【注意 事项 】 


TCP 连接 工具 只 能 用 于 实验 。 
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第 7 音 
”构建 安全 的 园区 网 络 


【实验 名 称 】 


构建 安全 的 园区 网 络 。 

【实验 目的 】 

使 用 防火 墙 .安全 VPN .IDS 等 技术 构建 安全 的 园区 网 络 。 

【背景 描述 】 

某 企业 总 部 位 于 北京 ,并 且 在 上 海 拥有 办 事 处 。 总 部 通过 一 台 防 火 墙 接 入 Internet， 
上 海 办 事 处 通过 一 台 VPN 网 关 接 入 Internet。 公 司 总 部 和 办 事 处 网 络 都 使 用 私有 编 直 
方案 。 总 部 网 络 内 有 一 台 提供 对 外 服务 的 FTP 服务 器 ,这 个 服务 器 需要 能 被 Internet 上 
的 用 户 访问 到 。 

由 于 公司 业务 需要 ,总 部 和 办 事 处 之 间 需 要 共享 业务 信息 ,由 于 总 部 和 办 事 处 之 问 需 
要 交互 一 些 重要 数据 信息 ,所 以 这 些 信息 在 跨越 不 安全 的 Internet 上 进行 传输 时 需要 保 
证 数据 的 机 密 性 。 此 外 ,公司 还 经 党 有 出 差 在 外 进行 移动 办 公 的 人 员 ,这 些 移动 办 公 人 员 
也 都 需要 接 人 到 总 部 网 络 以 获取 业务 信息 。 

此 外 ,为 了 提高 网 络 的 安全 性 ,总 部 网 络 需要 一 种 机 制 能 够 检测 到 网 络 中 出 现 的 安全 
威胁 ,以 便 及 时 地 对 威胁 进行 控制 . 阻 断 或 隔离 。 
最 后 ,总 部 网 络 希望 运营 商 能 够 协助 阻挡 一 些 私 有 地 址 的 人 P 欺骗 攻击 。 


【需求 分 析 】 


需求 1: 总 部 网 络 和 办 事 处 网 络 使 用 私有 编 址 方案 ,但 是 需要 访问 Internet 资源 。 

分 析 1: 使 用 私有 编 址 方案 接 人 到 Internet, 在 防火 墙 和 VPN 网 关上 采用 安 
全 NAT。 

需求 2: 总 部 网 络 中 的 FTP 需要 对 外 提供 服务 。 

分 析 2: 为 了 使 内 部 FTP 服务 器 能 够 对 外 提供 服务 ,需要 在 总 部 防火 墙 上 使 用 IP 映 
射 将 FTP 服务 器 发 布 到 Internet 中 。 

需求 3: 总 部 和 办 事 处 网 络 需要 共享 信息 ,并且 要 保证 数据 传输 的 安全 人 性 。 

分 析 3: 在 总 部 网 络 和 办 事 处 网 络 之 间 构 建安 全 的 IPSec 隧道 ,通过 IPSec 隧道 传输 
的 数据 都 将 被 进行 加 密 处 理 。 

需求 4: 移动 办 公 人 员 需 要 接 人 到 总 部 网 络 获取 信息 。 
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分 析 4: 移动 办 公 网 络 接 人 到 Internet 后 ,可 以 使 用 远程 接 人 IPSec 技术 通过 IPSec 
隧道 接 人 到 总 部 网 络 。 

需求 5: 总 部 网 络 内 部 需要 能 够 检测 安全 威胁 。 

分 析 5: 在 网 络 内 部 (防火 墙 后 面 ) 部 署 IDS 可 以 对 网 络 内 部 的 数据 进行 监听 和 检 
测 ,并 对 检测 到 的 威胁 进行 告警 。 

需求 6: Router 为 运营 商 的 路 由 器 ,要 求 其 协助 我 们 进行 数据 包 过 滤 , 防 止 源 IP 地 
址 为 私有 地 址 的 欺骗 攻击 到 达 总 部 网 络 。 

分 析 6: 为 了 使 运营 商 协助 我 们 防止 源 IP 地 址 为 私有 地 址 的 欺骗 攻击 ,需要 在 
Router 上 使 用 RFC 1918 过 滤 。 


【实验 拓扑 】 


如 图 7-1 所 示 的 网 络 拓扑 ,是 某 企业 综合 网 络 安 全 规划 。 由 于 业务 需要 ,公司 总 部 和 
办 事 处 之 间 需 要 交互 一 些 重要 数据 信息 ,所 以 这 些 信息 在 跨越 不 安全 的 Internet 上 进行 
传输 时 需要 保证 数据 的 机 密 性 。 公 司 还 经 常 有 出 差 在 外 进行 移动 办 公 的 人 员 ,这些 移动 
办 公 人 员 也 都 需要 接 人 到 总 部 网 络 以 获取 业务 信息 ,总 部 网 络 需要 一 种 机 制 能 够 检测 到 
网 络 中 出 现 的 安全 威胁 ,以 便 及 时 对 威胁 进行 控制 . 阻 断 或 隔离 ,希望 运营 商 能 够 协助 阻 
挡 一 些 私 有 地 址 的 IP 欺骗 攻击 。 因 此 公司 决定 使 用 防火 墙 、 安 全 VPN IDS 等 技术 构建 
全 局 安全 的 园区 网 络 。 


_ PC3 二 
全 间 PC ~ (1lPSec 2 
人 (IDS Console) 


3 a 
全 全 
”A 
[3 9 
6 
a 
兰 1 
| 
上 
多 
0 
| 
> 5 
Ls 


PC4 
(Attacker} 


图 7-1 使 用 防火 墙 \ 安 全 VPN IDS 技术 构建 安全 园区 网 络 拓扑 图 


表 7-1 所 示 的 地 址 信息 ,是 企业 使 用 防火 墙 ` 安 全 VPN、IDS 技术 构建 如 图 7-1 所 示 
安全 园区 网 络 拓扑 的 地 址 规划 情况 。 


284 


em 第 7 章 构建 安全 的 园区 网 络 mmm 


表 7-1 地 址 信息 
设备 /接口 耳 地 址 设备 /接口 全 地 址 
PCl 192. 168. 1. 3/24 FW WAN 200. 1. 1. 1/24 
PC2 192. 168. 2. 2/24 VPNA LAN 192. 168. 1. 2/24 
192. 168. 3. x/24(Private) VPNA WAN 200.1.1.3/24 
PC3(IPSec Client) 
201.1.1.10/24(Public) VPNB LAN 192. 168. 2. 1/24 
PC4(Attacker) 201.1.1.44/24 VPNB WAN 201.1.1.1/24 
PC5(IDS Console) 192. 168. 4. 2/24 Router F0/0 200. 1.1. 2/24 
FTP_Server 192. 168. 1. 100/24 Router F0/1 201. 1.1. 2/24 
FW LAN 192. 168. 1. 1/24 
【实验 设备 】 
， 防 火 墙 1 台 
。 VPN 网关 2 台 
。 IDS 1 台 
。 交换 机 3 台 


。 PC 7 台 (其 中 PCl 和 PC2 用 做 子 网 用 户 ,PC3 用 做 远程 IPSec 接 人 客户 端 ,PC4 
用 做 Internet 攻击 者 ,PC5 用 做 IDS 控制 台 , 一 台 PC 用 做 FTP Server, 最 后 一 台 
PC 用 做 对 于 各 个 设备 的 管理 机 ) 

。 防火 墙 管 理 员 证 书 

。 安全 远程 接 入 系统 SRA 安装 程序 

。 锐 捷 网 关 管 理 中 心安 装 程序 

。 IDS 事件 收集 器 安装 程序 

。 IDS 控制 台 安 装 程序 

。 端口 扫描 软件 

。 FTP Server 软件 


【预备 知识 】 

防火 墙 工 作 原 理 及 基本 配置 .VPN 工作 原理 及 基本 配置 .IDS 工作 原理 及 基本 配置 、 
交换 机 基本 配置 .端口 镜像 原理 。 

【实验 原理 】 


通过 使 用 防火 墙 的 安全 NAT 和 访问 控制 功能 ,可 以 实现 私有 网 络 安全 地 接 人 到 
Internet ,并 且 将 内 部 服务 器 发 布 到 Internet 中 ,使 得 Internet 用 户 可 以 访问 网 络 内 部 资 
源 。 利 用 IPSec VPN 的 安全 功能 可 以 使 两 个 局 域 网 通过 在 Internet 上 构建 的 安全 加 密 
隧道 安全 地 进行 数据 传输 ,并 且 通 过 IPSec 的 远程 接 人 可 以 使 移动 办 公 的 用 户 接 人 到 内 
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部 网 络 共享 资源 。IDS 作为 一 个 安全 威胁 检测 系统 ,可 以 针对 网 络 中 的 数据 流 进 行 监听 和 
分 析 , 当 发 现 网 络 流量 中 存在 安全 威胁 时 ,可 以 立即 产生 告警 ,后 续 可 以 使 用 相应 的 方法 阻 
断 或 隔离 威胁 。 对 于 报 文 的 过 滤 ,我 们 可 以 使 用 路 由 器 的 访问 控制 列表 (ACL) 来 实现 。 


【实验 流程 图 】 

如 图 7-2 所 示 的 实验 流程 图 ,是 企业 使 用 防火 墙 \ 安 全 VPN IDS 技术 ,构建 如 图 7-1 
所 示 安 全 园区 的 施工 流程 规划 。 在 复杂 项 目 施工 前 ,通过 规划 施工 过 程 流程 ,可 以 减少 项 
目 施 工 过 程 中 的 故障 发 生 率 ,从 而 有 效 提高 项 目 施 工效 率 。 


配置 Intemet 路 由 器 天 

验证 防火 墙 一 一 配置 交换 机 端口 镜像 

2 a 
EC 置 防火 墙 地 址 信息 

配置 防火 墙 地 址 及 路 由 信 (RE Bs enor 


tf 及 登录 IDS 控 制 台 


配置 防火 墙 安全 NAT 


= 配置 IDS 策 略 


- - 
配置 防火 墙 让 映射 
验证 防火 墙 -一 实施 攻击 
IP 映 身 pp ~ 
一 配置 VPNA 和 VPNB 的 地 址 { 


及 路 由 信息 查看 1DS 千 敬 
配置 VPNB 的 NAT 转 换 

验证 VPNB 一 配置 防火 墙 抗 攻 击 
地 址 转换 区 2 
配置 LAN-to-LANTPSec VPN 二 

i J 实施 攻 
验证 LAN-to-LAN 实施 攻击 

TPSec VPN 一 一 一 一 一 一 一 ~ = 二 = 


Se 配置 Remote-AccesslPSecYPN 


验证 Remote-Access 
TPSec VPN 


一 一 


7-2 实验 流程 图 


【实验 步骤 】 

1. 配置 Intemst 路 由 器 以 模拟 Intemt 环境 
Router# configure terminal 

Router (config)# interface fastEthemet 0/0 

Router (configr- if)# ip address 200.1.1.2 255.255.255.0 
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Router (config— if)# exit 

Router (config)# interface fastEthemet 0/1 

Router (configr- if)# ip aqdress 201.1.1.2 255.255.255.0 

Router (config— if)#exit 

Router (config)# 

注意 : 不 要 在 路 由 器 上 配置 访问 总 部 网 络 和 分 支 办 事 处 网 络 私 有 子 网 的 路 由 ,因为 
Internet 中 的 路 由 器 是 没有 访问 私有 地 址 的 路 由 条 目的 。 


2 配置 防火 墙 接口 地 址 
在 防火 墙 的 Web 界面 中 ,选择 “网 络 配 置 ">“ 接 口 IP” 后 进入 地 址 配置 页 面 , 单 击 
“添加 ”按钮 为 接口 添加 IP 地 址 ,如 图 7-3 和 图 7-4 所 示 。 


192 188.1.1 


255. 255. 256. 0 


255. 255.255.0 | 
rc 


r 
[| 
国 


本 
7-4 配置 防火 墙 接口 地 址 (2) 
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为 LAN 接口 和 WAN 接口 添加 完 地 址 后 的 地 址 信息 如 图 7-5 所 示 。 


未 8 用 
未 BB 用 
192. 168.1.1 


200.41.1.1 
MT2.16.1.1 


图 7-5 防火 墙 接口 地 址 信息 


3 配置 防火 墙 默认 路 由 
在 防火 墙 的 Web 界面 中 ,选择 “网 络 配 置 ">“ 策 略 路 由 ”后 进入 路 由 配置 页 面 ,然后 
单 击 “ 添 加 ”按钮 添加 一 条 默认 路 由 ,下 一 跳 为 Internet 路 由 器 F0/0 接口 的 地 址 
200.1.1.2, 如 图 7-6 所 示 。 
目的 二 二 下 -中 


200.1.1.01255.255.255.0 *# 
192. 168.1. 01255. 255 .255.0 *# 


个 mn 认 备 :| 天 a 


图 7-6 配置 防火 墙 默认 路 由 


单 击 “ 确 定 ” 按 钮 完成 默认 路 由 的 添加 ,如 图 7-7 所 示 。 


0.0.0.0/0.0.0.0 200.1.1.2 
200.1.1.0/255.255.255.0 。 * 


192.168.1.01255. 255 255.0 * 
172. 16.1.0/255.255.255.0 *# 


图 7-7 添加 防火 墙 默认 路 由 


4 配置 防火 墙 安全 NAT 

在 防火 墙 的 Web 界面 中 ,选择 “安全 策略 >“ 安全 规则 ”后 进入 安全 规则 配置 页 面 ， 
然后 单 击 页 面 上 的 “NAT 规则 ”按钮 配置 安全 NAT 规则 。 

在 NAT 规则 中 , 源 地 址 为 被 转换 的 地 址 192. 168. 1. 0/24, 目 的 地 址 为 any, 服 务 为 
any, 转 换 后 的 地 址 为 wan 接口 的 地 址 200. 1. 1. 1, 数 据 的 人 接口 为 lan 接口 ,出 接口 为 
wan 接口 ,如 图 7-8 所 示 。 

配置 完 NAT 规则 后 单 击 “ 确 定 ” 按 钮 完成 规则 的 添加 ,添加 后 的 规则 如 图 7-9 所 示 。 
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mat ( 1-15 位 字母 、 数字 、 碱 号 、 下 #9 相合 ) 
al ER 一 一 站 可 
目的 地 址 地 地 
掩 码 到 0 挤 玛 
[200.i1.1 
厂 保护 主机 厂 保护 服务 三 限制 主机 厂 限制 服务 
起 加 下 
图 7-8 配置 防火 墙 安全 NAT 
安全 第 四 安全 规则 sr 加 
和 纯 号 规则 名 机 地 址 目的 地 址 服务 类 型 选项 生效 
Pn natl 192.168.1.0 ay an 了 TI 规则 
[oe 首页 。 所 上 一 页 eS 下 一 页 四 | 尾 页 第 ! 页 /1 页 Ml 国 国 互 | 十 | E10 a . 


图 7-9 添加 防火 墙 安全 NAT 规则 


5 验证 防火 墙 安 全 NAT 

将 PC1 的 全 地 址 配置 为 192. 168. 1. 3/24 ,默认 网 关 为 防火 墙 LAN 接口 的 地 址 
192. 168.1.1。 然 后 在 PC1 上 ping 路 由 器 Fo/0 接口 的 地 址 200. 1. 1. 2, 如 图 7-10 
所 示 。 


图 7-10 ”验证 防火 墙 安全 NAT 
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通过 ping 的 结果 可 以 看 到 ,PC1 通过 防火 墙 的 安全 NAT 可 以 访问 Internet( 注 意 : 
由 于 Internet 路 由 器 上 没有 访问 总 部 私有 网 络 192. 168. 1. 0/24 的 路 由 ,所 以 如 果 NAT 
不 生效 ,PC1 则 无 法 访问 Internet) 。 


6 配置 防火 墙 IP 映 射 规则 

使 用 与 之 前 同样 的 方式 为 防火 墙 的 WAN 接口 再 添加 一 个 IP 地 址 200. 1. 1. 100/24, 此 
地 址 用 于 发 布 内 部 FTP 服务 器 。 

在 防火 墙 的 Web 界面 中 ,选择 “安全 策略 ”>“ 安 全 规则 ”后 进入 安全 规则 配置 页 面 ， 
然后 单 击 页 面 上 的 “IP 映射 规则 ”按钮 配置 IP 映射 规则 。IP 映射 规则 中 的 公开 地 址 为 
200. 1. 1. 100, 内 部 地 址 为 FTP 服务 器 的 地 址 192. 168. 1. 100, 入 接口 为 wan 接口 ,出 接 
口 为 lan 接口 。 这 样 当 Internet 用 户 访问 200. 1. 1. 100 时 ,防火 墙 将 把 请 求 映 射 到 内 部 
的 FTP 服务 器 ,如 图 7-11 所 示 。 


ET 


环卫 射 规则 维护 


Etpserver 【1-15 位 字母 ,数字 、 减 号 、 下 划 绕 的 组 合 ) 


200. 1.1. 100 


I * 公开 地 址 
掩 码 


[EAI 


检查 流出 网 口 
流量 控制 - 
日 志 记 录 


7-11 配置 防火 墙 IP 映射 规则 


配置 完 IP 映射 规则 后 , 单 击 “ 确 定 ” 按 钮 完成 规则 的 添加 ,如 图 7-12 所 示 。 


图 7-12 添加 防火 墙 IP 映射 规则 


7 验证 防火 墙 IP 映 射 规则 
将 PC3 的 IP 地 址 配置 为 201. 1. 1. 10/24, 默 认 网 关 为 Internet 路 由 器 F0/1 接口 的 
地 址 201.1.1.2。 
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在 总 部 网 络 上 将 FTP 服务 器 的 地 址 配置 为 192. 168. 1. 100/24, 默认 网 关 为 
192. 168. 1. 1。 启 动 FTP Server( 需 要 预先 安装 FTP Server 程序 ) ,然后 在 PC3 上 对 FTP 
服务 器 进行 访问 ,访问 FTP 服务 器 使 用 地 址 200. 1. 1. 100。 登 录 FTP 服务 器 使 用 预先 创 
建 的 用 户 名 test, 密 码 为 test, 如 图 7-13 所 示 。 


图 7-13 验证 防火 墙 IP 映射 规则 


从 图 7-13 可 以 看 出 ,PC3 成 功 地 通过 地 址 200. 1. 1. 100 登录 到 FTP 服务 器 上 。 由 
于 在 防火 墙 上 配置 了 200. 1.1. 100 至 192. 168. 1.3 el 巴 FTP 请 求 定 
向 到 内 部 的 FTP 服务 器 192. 168. 1. 3 上 


8 配置 \PN 网 关 接口 地 址 
连接 到 VPN 网 关 的 串口 ,使 用 命令 行 VPNA 的 接口 地 址 : 


Ruijie Co., Ltd. 

Model: RE- WALL- V50 
Version: RG- WALL- v2.30.10 
http://www.ruijie.com.cn 


mailto:service@ star- net.cn 


RE- WALL login: sadm ! 上 默认 用 户 名 为 sadm 
Password: ! 默 认 密 码 为 sadm 
[sadme RG- WALL]# network 


[sadme RG- WALL (Network) ]# interface set 

JInterface to set (eth0, ethl, Enter means cancel): 

ethl ! 配 置 VENR WAN 接 口 的 地 址 
Bring up onboot? (0: No, 1: Yes, Enter means Yes) 

1 

Work mode (0: UnCfg, 1: Manual, 2: DHCP, 3: PPPOE, 4: InBridge, Enter means Manual) : 

1 

IP MGdress (XXZX : 


200.1.1.3 
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Netmask (wx.xxx.xxx.xxx, Enter means 255.255.255.0) : 


255.255.255.0 
GateWay (wc.xxx.wx.xxx, Enter means no default gateway in this network) : 
200.1.1.2 !WN 接 口 的 默认 网 关 为 Intemet 路 由 器 F0/0 接 口 地 址 


MC Mdress (xx:xx:xx:xx:xx:xx, Enter means Use MAC Dddress of device) : 
MIU (68- 1500, Enter means Use MIU of device) : 
Link- Guarantee Weight (1- 255, Fnter means 100): 


[sadme RG- WALL (Network) ]# interface set 
Interface to set (eth0，ethl，Enter means cancel) : 
eth0 ! 配 置 VENA IAN 接 口 的 地 址 
Bring up onboot? (0: No, 1: Yes, Enter means Yes) 
和 
Work mode (0: UnCfg, 1: Manual, 2: DHCP, 3: PPPOE, 4: InBridge, Enter means Manual) : 
和 
IP Madress (wr .0 .700.7207) : 
192.168.1.2 
Netmask (we .we .wr.w, Enter means 255.255.255.0) : 
255.255.255.0 
GateWay (xox .x .2 .wx, Enter means no default gateway in this network) : 
! 在 TAN 接 口 不 配置 默认 网 关 
MC Madress (Xxx:xx:xx:xx:xx:xx, Enter means Use MAC Dddress of device) : 


MIU (68- 1500, Enter means use MIU of device) : 

[sadme RG- WALL (Network) ]# exit 

[sadme RG- WALL]# exit 

连接 到 VPN 网 关 的 串口 ,使 用 命令 行 配置 VPNB 的 接口 地 址 : 


Ruijie Co., Itd. 
Model: RG- WALL~ V50 
VErsion: FG- WALL V2.30.10 


http://ww.ruijie.cam.cn 

mailto:service@ star- net.cn 

RG- WALL login: sadm ! 默 认 用 户 名 为 sadm 
Password: ! 默 认 密 码 为 sadn 


[sadme FG- WALL]# network 

[sadme RG- WALL (Network) ]# interface set 

Interface to set (eth0, ethl, Enter means cancel): 

ethl ! 配 置 TaB WN 接口 的 地 址 
Bring up onboot? (0: No, 1: Yes, Enter means Yes) 

1 
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Work mode (0: Uncfg, 1: Manual, 2: DHCP, 3: PPPOE, 4: InBridge, Enter means Manual) : 

1 

IP Madress (xxx.xxx .wx.2): 

201.1.1.1 

Netmask (wc.xxx .wx.xxx, Enter means 255.255.255.0) : 

255.255.255.0 

GateWay (ZX Enter means no default gateway in this network) : 

201.1.1.2 !WN 接 口 的 默认 网 关 为 Internet 路 由 器 Fo/1 接 口 地 址 
MC Podress (xx:xx:xx:xx:xx:xx, Enter means Use MAC Pddress of device) : 


MIU (68- 1500, Enter means use MIU of device) : 
Link- Guarantee Weight (1- 255, Enter means 100): 


[sadme RG- WALL (Network) ]# interface set 
Interface to set (eth0, ethl, Enter means cancel): 
eth0 ! 配 置 VENB IAN 接 口 的 地 址 
Bring up onboot? (0: No, 1: Yes, Enter means Yes) 
1 
Work mode (0: UnCfg, 1: Manual, 2: DHCP, 3: PPPOE, 4: InBridge, Enter means Manual) : 
1 
IP Madress (CC : 
192.168.2.1 
Netmask (wx .wx .wx Enter means 255.255.255.0) : 
255.255.255.0 
GateWay (wc. .0 .wx, Enter means no default gateway in this network) : 
! 在 IN 接口 不 配置 默认 网 关 
MC MGdress (wx:xw:xx:xx: xi:xx, Enter means Use MAC Radress of device) : 


MIU (68- 1500, Enter means Use MIU of device) : 


[sadme RG- WALL (Network) ]# exit 
[sa RG- WALL]# exit 


9 配置 VPNB 的 地 址 对 象 

通过 VPN 网 关 管 理 中 心 连接 到 VPNB 的 管理 界面 ,选择 “防火 墙 ”"“ 对 象 管理 ”一 
“IP 地 址 对 象 " 后 进入 IP 地 址 对 象 配 置 页 面 ,然后 单 击 页 面 上 的 “添加 对 象 ” 按 钮 创建 一 
个 新 的 IP 地 址 对 象 ,名 称 为 “分 支 办 事 处 ”, 单 击 “ 确 定 ” 按 钮 完成 IP 地 址 对 象 的 添加 ,如 
图 7-14 所 示 。 

IP 地 址 对 象 添 加 完毕 后 ,选中 “分 支 办 事 处 ”IP 地 址 对 象 , 单 击 页 面 上 的 “添加 成 员 ” 
按钮 ,为 该 对 象 添加 分 支 网 络 的 子 网 地 址 192. 168. 2. 0/24, 单 击 “ 确 定 ” 按 钮 完成 地 址 配 
置 ,如 图 7-15 所 示 。 
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添加 IP 地 址 对 象 
对 象 名 称 。 ”办 支 办 事 旬 


图 7-14 配置 VPNB 的 地 址 对 象 


图 7-15 为 对 象 添加 分 支 网 络 子 网 地 址 


10 配置 VPNB 的 NAT 转 换 

在 VPNB 的 管理 界面 中 ,选择 防火墙 >“ 访问 规则 ”后 进入 访问 规则 配置 页 面 , 然 
后 双击 页 面 上 序号 为 1 的 默认 所 有 访问 通过 的 规则 ,对 其 进行 修改 。 

在 访问 规则 配置 框 中 ,选择 名 为 “分 支 办 事 处 ”的 源 对 象 ,并 在 源 转换 的 地 址 转换 类 型 
中 选择 “ 按 转发 接口 自动 转换 ”, 并 勾 选 “端口 转换 " 复 选 框 ,这 样 VPN 网 关 将 对 来 自分 支 
办 事 处 子 网 的 访问 进行 源 地 址 端口 转换 , 单 击 “ 确 定 ” 按 钮 完成 修改 ,如 图 7-16 所 示 。 

修改 完成 的 规则 如 图 7-17 所 示 。 


11. 验证 VPNB 的 地 址 转换 

将 PC2 的 IP 地 址 配置 为 192. 168. 2. 2/24 ,默认 网 关 为 VPNB 的 LAN 接口 的 地 址 
192.168. 2. 1, 在 PC2 上 ping Internet 路 由 器 F0/1 接口 的 地 址 201. 1. 1. 2/24, 如 图 7-18 
所 示 。 
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图 7-16 


El 
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C: \bocunents and Settings\Adninist 
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图 7-18 验证 VPNB 的 地 址 转换 
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通过 ping 结果 可 以 看 出 ,VPNB 的 NAT 转换 成 功 。 


全 配置 VPNA 的 LANto-LAN IPSec VPN 

在 VPNA 的 管理 界面 中 ,选择 “虚拟 专用 网 ”>IPSec VPN>“ 隧 道 配 置 " 后 进入 隧道 
配置 页 面 ,然后 单 击 页 面 上 的 “添加 设备 ”按钮 配置 对 端 VPN 网 关 。 

在 “对 方 设备 名 称 ” 文 本 框 中 输入 对 方 VPN 网 关 的 名 称 , 这 里 我 们 输入 VPNB; 在 
“本 地 设备 接口 "下拉 列表 中 选择 在 哪个 接口 上 建立 IPSec 隧道 ,这 里 我 们 选择 WAN 
接口 ehtl; 在 “本 地 设备 身份 "区域 中 我 们 选择 “作为 客户 端 " 单 选 按钮 ,并 配置 “对 方 设 
备 地 址 ?为 VPNB WAN 接口 的 地 址 201. 1. 1. 1; 在 “认证 方式 ”区 域 中 我 们 选择 “ 预 共 
享 密 钥 ” 单 选 按钮 ,并 将 “ 密 钥 ”设置 为 1234567, 单 击 “ 确 定 ” 按 钮 完成 配置 ,如 图 7-19 
所 示 。 


添加 设备 
贡生 从 夏 | 高 过 项 | 
设备 信息 [认证 方式 
巴 共 享 客 崩 ) 
对 方 设备 名 称 00 [本 密 钥 : 站 234567 
本 地 设备 接口 UD: [et ， 司 人 地 址 标识 
个 自 定 义 标识 


和 本地 标识 : @ 上 
| 本 六 人 份 2 
| | 「 和 和 AiR 


人 作为 客户 端 已 三 C 数字 签名 中 一 一 一 
本寺 证 书 压 识 一 一 一 一 一 一 一 一 一 
玖 RS Po | | 性 
作为 服务 器 演 G) i 
Hi 
[3 
a] 


7-19 配置 虚拟 专用 网 


完成 对 端 设备 的 配置 后 , 单 击 页 面 上 的 “添加 隧道 ”按钮 配置 访问 VPNB 的 IPSec 
隧道 。 

在 “隧道 信息 ?选项 卡 中 ,隧道 名 称 ” 使 我 们 可 以 为 该 隧道 指定 任意 的 名 称 , 这 里 我 们 
使 用 To_VPNB; 在 “对 方 设备 名 称 ” 下 拉 列 表 中 选择 刚刚 创建 的 对 端 设备 VPNB; 在 “本 
地 子 网 ”区域 中 输入 总 部 网 络 的 子 网 信息 192. 168. 1. 0/24; 在 “对 方 子 网 ?区 域 中 输入 分 
支 办 事 处 网 络 的 子 网 信息 192. 168. 2. 0/24 ,如 图 7-20 所 示 。 

在 “通信 策略 ?选项 卡 中 ,对 于 VPNB 的 设备 连接 默认 使 用 IPSec 隧道 模式 。IPSec 
默认 使 用 ESP 协议 ,加 密 算法 为 3DES, 哈 希 函 数 使 用 SHA。 这 里 也 可 以 指定 多 个 套件 ， 
双方 会 在 多 个 中 协商 出 一 个 匹配 的 套件 来 建立 隧道 , 单 击 “ 确 定 ” 按 钮 完成 隧道 的 配置 ,如 
图 7-21 所 示 。 

完成 后 的 隧道 配置 如 图 7-22 所 示 。 
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冲 区 Eu [4 © 
添加 设备 ”出 除 设备 。 ”编辑 设备 。 后 动 所 尾 隆 道 暂停 所 尾 隆 道 


好 卫 了 客户 端 预 共 享 密 钥 


[便道 协商 允 数 一 
重 传 次 数 (7): 下 (~5) 


式 
厂 自动 和 动 入 完全 向 前 保密 FFS) 


了 | 
对本 
章 完 


区 过 | [| 攻 二 | 区 辣 | 


图 7-20 输入 总 部 网 络 的 子 网 信息 图 7-21 配置 隧道 通信 策略 


加 画 褒 B 


添加 隆 道 。 。” 蔬 队 隆 道 。 编 铝 隆 道 。 局 动 隆 道 。。 暂停 隆 道 


To vm | thl 20L LL1 192. 168. 1.0/255. 255. 255.0 | 192. 168.2 0/255.255.255.0 | 


图 7-22 ”完成 隧道 的 配置 


13 配置 VPNB 的 LANto-LAN IPSec VPN 

在 VPNB 的 管理 界面 中 ,选择 “虚拟 专用 网 ”>IPSec VPN 一 “隧道 配置 "后 进入 隧道 
配置 页 面 ,然后 单 击 页 面 上 的 “添加 设备 ”按钮 配置 对 端 VPN 网 关 。 

在 “对 方 设备 名 称 ” 文 本 框 中 输入 对 方 VPN 网 关 的 名 称 ,这 里 我 们 输入 VPNA; 在 
“本 地 设备 接口 "下拉 列表 中 选择 在 哪个 接口 上 建立 IPSec 隧道 ,这 里 我 们 选择 WAN 接 
口 eht1; 在 “本 地 设备 身份 ”区 域 中 我 们 选择 “作为 客户 端 " 单 选 按 钮 ,并 配置 “对 方 设备 地 
址 ”为 VPNA WAN 接口 的 地 址 200. 1. 1. 3; 在 “认证 方式 ”区 域 中 我 们 选择 “ 预 共享 密 钥 ” 
单 选 按 钮 ,并 将 “ 密 钥 ” 设 置 为 1234567, 密 钥 在 VPNA 和 VPNB 必须 匹配 , 单 击 “ 确 定 ” 按 
钮 完成 配置 ,如 图 7-23 所 示 。 

完成 对 端 设备 的 配置 后 , 单 击 页 面 上 的 “添加 隧道 ”按钮 配置 访问 VPNA 的 IPSec 
隧道 。 

在 “隧道 信息 ?选项 卡 中 性 隧道 名 称 ? 使 我 们 可 以 为 该 隧道 指定 任意 的 名 称 ,这 里 我 们 
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7-23 配置 虚拟 专用 网 


使 用 To_VPNA; 在 “对 方 设备 名 称 ” 下 拉 列 表 中 选择 刚刚 创建 的 对 端 设备 VPNA; 在 “本 
地 子 网 ”区 域 中 输入 分 支 办 事 处 网 络 的 子 网 信息 192. 168. 2. 0/24; 在 “对 方 子 网 ”区 域 中 
输入 总 部 网 络 的 子 网 信息 192. 168. 1. 0/24 ,如 图 7-24 所 示 。 

在 “通信 策略 ”选项 卡 中 ,对 于 VPNA 的 设备 连接 默认 使 用 IPSec 隧道 模式 。IPSec 
默认 使 用 ESP 协议 ,加 密 算法 为 3DES, 哈 希 函 数 使 用 SHA。 这 里 也 可 以 指定 多 个 套件 ， 
双方 会 在 多 个 中 协商 出 一 个 匹配 的 套件 来 建立 隧道 , 单 击 “ 确 定 ” 按 钮 完成 隧道 的 配置 ,如 
图 7-25 所 示 。 


本 
添加 设备 。。 型 除 设备 。。 编辑 设备 局 动 所 尾 隆 道 暂停 所 犀 隆 首 


TREE 
隧道 名 称 曙 :三 。wPIA 

对 方 设备 名 称 邓 ):| RNA 司 
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掩 码 G | 255 .255 .255 . 0 
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至 人 oO:F as | | | Es 
厂 外 动 忆 动 WW 有 口 充 全 向 前 保密 frs) 

ew] 
图 7-24 配置 隧道 信息 图 7-25 ”配置 障 道 通信 策略 
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完成 后 的 隧道 配置 如 图 7-26 所 示 。 


对 方 设备 名 称 本 地 设备 身份 认证 方式 隧道 数量 隘 首 类 型 
VERA a 客户 请 预 共 享 密 钥 1 or 
,1 D 
过 加 随 道 。 名 除 附 道 内 铝 隆 道 。 后 动 隆 首 
本 地 子 网 
To WA ah 200.1.1.3 192. 168.2.0 255.0 | 192.188.1.0/255.255.255.0 


图 7-26 完成 隧道 配置 


人 性 验证 LANto-LAN IPSec VPN 

由 于 PC1 的 默认 网 关 为 防火 墙 LAN 接口 的 地 址 192. 168. 1. 1, 所 以 为 了 使 发 往 分 
支 办 事 处 网 络 的 数据 被 发 送 到 VPNA 上 ,在 PC1 上 添加 一 条 到 达 分 支 办 事 处 网 络 
192. 168. 2. 0/24 的 路 由 ,默认 网 关 为 VPNA 的 LAN 接口 地 址 192. 168. 1.2, 如 图 7-27 
所 示 。 


在 PC1 上 ping PC2 的 地 址 ,可 以 ping 通 , 说 明 数据 是 通过 总 部 网 络 与 分 支 办 事 处 网 
络 的 IPSec 隧道 传输 ,如 图 7-28 所 示 。 

在 VPNA 的 管理 界面 中 ,选择 “虚拟 专用 网 ”>IPSec VPN->” 隧 道 协商 状态 来 查看 
IPSec 隧道 的 状态 ,可 以 看 到 VPNA 和 VPNB 之 间 的 LAN-to-LAN IPSec 隧道 已 经 协商 
成 功 ( 第 二 阶段 协商 成 功 ) ,如 图 7-29 所 示 。 

同样 ,在 VPNA 的 管理 界面 中 ,选择 “虚拟 专用 网 ”>IPSec VPN 一 “隧道 协商 状态 ” 
来 查看 IPSec 隧道 的 状态 ,可 以 看 到 VPNA 和 VPNB 之 间 的 LAN-to-LAN IPSec 隧道 已 
经 协商 成 功 (第 二 阶段 协商 成 功 ) ,如 图 7-30 所 示 。 
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CAWINDOWS\system32\cmd.exe 


7-28 ”验证 配置 
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图 7-29 


查看 隧道 协商 状态 
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图 7-30 


查看 IPSec 隧道 的 状态 


位 配置 VPNA 的 Renote Access IPSec VPN 
在 VPNA 的 管理 界面 中 ,选择 “虚拟 专用 网 ”>IPSec VPN-> “远程 用 户 管理 ?后 进入 


远程 用 户 页 面 , 旬 
中 的 子 网 信息 。 
192. 168. 1. 0 255. 
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255. 


后 单 


ED ss | 


与 刁 和 


允许 访问 子 “内 部 DNS 服务 ”内 部 WINS 服 人 证 参数 。 本 地 用 户 数 ” 虚 IF 地 址 池 用户 特征 码 ”当前 接 入 用 
前 EL 外 ™p 


运程 用 户 O 录 成 功 后 ,允许 访问 的 内 部 子 同 资 源 。 


合 一 局 省 


添加 | | 编 儿 EE) | | 着 了 0) | | 关闭 加 ) 
图 7-31 添加 允许 的 子 网 信息 


后 单 击 页 面 上 的 “允许 访问 子 网 ?图 标 ,配置 远程 用 户 可 以 访问 总 部 网 络 
添加 ”按钮 添加 允许 的 子 网 信息 ,我 们 输入 ， 
55.0, 单 击 “ 确 定 ” 按 钮 完成 添加 ,如 图 7-31 所 示 。 


总 部 网 络 的 地 址 
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单 击 页 面 上 的 “本 地 用 户 数据 库 ? 图 标 ,添加 远程 用 户 信息 ,用 户 名 和 密码 都 为 
rauser, 然 后 单 击 “ 数 据 库 生效 ”按钮 使 添加 的 用 户 立 即 生 效 ,如 图 7-32 所 示 。 


库 
0TP 认 证 和 PAF 认 证 所 用 的 用 户 数 据 库 。 
1 一 


用 户 名 Dser 
用 POS®): Pe 
确认 口令 四 


个 允许 用 记录 
个 禁 上 用 户 等 录 


[二 |] [Crew] 


图 7-32 添加 远程 用 户 信息 


单 击 “远程 用 户 管 理 ? 页 面 上 的 “ 虚 IP 地 址 池 ” 图 标 ,配置 分 配给 远程 IPSec 接 入 用 户 
的 地 址 信息 ,这 里 我 们 分 配给 远程 用 户 的 子 网 地 址 为 192. 168. 3. 0/24。 添 加 完成 后 ,将 
页 面 上 “对 虚 IP 分 配 表 之 外 的 用 户 不 自动 分 配 虚 IP” 的 复 选 框 取消 勾 选 ,因为 此 案例 我 
们 不 需要 为 特定 用 户 指定 特定 的 IP 地 址 ,如 图 7-33 所 示 。 


| EEC 
庶 TP 地 址 池 

i 

添加 。 划 除 护 辑 清空 


FE ee 1 3 0 | 
ET TE EE 
区 下 到 | 


图 7-33 分 配给 远程 用 户 的 子 网 地 址 


16 配置 PC3 IPSec Giem 
在 PC3 上 安装 并 启动 安全 远程 接 人 系统 SRA 软件 。 新 建 一 个 访问 总 部 VPNA 的 


301 


PE 网 络 安全 防御 技术 实践 教程 El 


远程 连接 ,网 关 地址 为 VTPNA WAN 接口 的 地 址 200. 1. 1. 3, 认 证 方式 使 用 “网 关 本 地 认 
证 ”, 单 击 “ 确 定 ” 完 成 创建 ,如 图 7-34 所 示 。 


连接 (@) 工具 (D 日 志 (R) 帮助 HD 


图 7-34 启动 安全 远程 接 入 软件 


人 T7 验证 Rendte-Access IPSec VPN 

在 安全 远程 接 入 系统 SRA 中 右键 单 击 刚 刚 创 建 的 连接 ,在 弹出 的 菜单 中 选择 “启动 
连接 ”命令 ,系统 提示 输入 用 户 名 和 密码 ,我 们 使 用 之 前 在 VPNA 上 创建 的 本 地 用 户 名 
rauser, 密 码 为 rauser, 单 击 “ 连 接 ” 按 钮 ,如 图 7-35 所 示 。 


7-35 启动 连接 


登录 成 功 后 ,双击 Windows 右 下 角 的 SRA 图 标 查看 远程 IPSec 隧道 的 详细 信息 ,可 
以 看 到 ,PC3 可 以 访问 总 部 网 络 192. 168. 1. 0/24 ,并 且 获 得 的 私有 地 址 为 192. 168. 1. 3， 
如 图 7-36 所 示 。 
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国 | 欢迎 使 用 锐 捷 安 全 远程 接 入 系统 


— 


Eee 
一 疆 网 关 保 护 子 RI0 (192. 168. 1.0~192. 166.1. 255) (可 访问 ) 


[资源 信息 - 
地 址 类 型 :自动 配置 
虚拟 IP 地 址 ，19216831 
DNS 服 务 器 : 
WINS 服 务 器 : 
VMS 服 务 器 : 

证 书 主题 : 


图 7-36 查看 远程 IPSec 隧道 的 详细 信息 


在 VPNA 的 管理 界面 中 ,选择 “虚拟 专用 网 ”>IPSec VPN->* 隧 道 协商 状态 ”来 查看 
IPSec 隧道 的 状态 ,可 以 看 到 PC3 与 VPNA 之 间 的 Remote-Access IPSec 隧道 已 经 协商 
成 功 (第 二 阶段 协商 成 功 ) ,如 图 7-37 所 示 。 


7-37 查看 IPSec 隧道 的 状态 


在 总 部 的 PC1 上 再 添加 一 条 到 达 远 程 客户 端子 网 192. 168. 3. 0/24 的 路 由 ,网 关 为 
VPNA 的 LAN 接口 地 址 192. 168. 1.2, 如 图 7-38 所 示 。 

在 PC3 上 ping PC1 的 地 址 ,可 以 ping 通 ,说 明 PC3(IPSec Client) 可 以 通过 与 
VPNA 的 Remote-Access IPSec 隧道 访问 总 部 内 部 网 络 ,如 图 7-39 所 示 。 


18 配置 交换 机 端口 镜像 


为 了 使 防火 墙 背后 的 IDS 能 够 侦 听 到 内 部 网 络 中 的 数据 流 , 需 要 在 内 部 网 络 的 交换 
机 上 配置 端口 镜像 ,使 得 将 通过 交换 机 的 流量 镜像 到 IDS 监控 端口 : 

Switch# configure terminal 

Switch (config)# monitor session 1 source interface FastEthernet 0/10 both 

Switch (config)# monitor session 1 source interface FastEthemet 0/9 both 

Switch (config)# monitor session 1 source interface FastEthemet 0/2 both 

Switch (config)# monitor session 1 source interface FastEthemet 0/1 both 

Switch (config)# monitor session 1 destination interface FastEthemet 0/20 

! 配 置 spPaAN, 源 端口 为 F0/1、F0/2、F0/9、F0/10, 目 的 端口 为 连接 Is sensor 监控 端口 的 F0/20 
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Docunents and 


139 Fanily 


. RG_UNIC Network Adapter 


Interface Metric 
08.8.8. ] 192.168.1 
255 .9.8 8 
| 
-6 


Persistent Route 
Network Addre Rddress Metric 
192.168 255.255-255 168 .1.2 1 

192 169 255.255-255 192.168.1.2 1 


cunents and Settings\Adninistrator: 


图 7-38 添加 一 条 到 达 远 程 客户 端子 网 的 路 由 


INDOWS\system32\cmd.exe 


hocunents and SettingsAhdninistrator>ping 192.168.1 


pinging 192.168.1.3 with 32 bytes of data: 


Reply fron 1 

Reply fron 192.168.1 
1 ein 
1 


3: hytes=32 tine=inm: 


eply fron 19 
Reply fron 192 


Ping statistics for 192.168.1.3 
ack Se 4 ed = 4。Lost 


pproxinate round trip tines in nilli-secon 


Mininun = ins, Maxinun = ins, age 


C:\Documents and Settings \Adninistrator 


图 7-39 访问 总 部 内 部 网 络 


但 配置 IDS Sensor 地 址 及 登录 IDS 控 制 台 

连接 到 IDS Sensor 的 串口 ,输入 管理 员 密 码 后 进入 到 管理 菜单 ,选择 Configure 
networking, 如 图 7-40 所 示 。 

配置 管理 接口 的 地 址 为 192. 168. 4. 1 , 掩 码 为 255. 255. 255. 0,RG-IDS Server 
即 事件 收集 器 的 地 址 为 192. 168. 4. 2 ,保存 配置 后 IDS Sensor 将 重新 启动 ,如 图 7-41 
所 示 。 


304 


7 章 构建 安全 的 园区 网 络 


图 7-40 连接 到 IDS Sensor 的 串口 


图 7-41 配置 管理 接口 的 地 址 


在 PC5 上 预先 安装 RG-IDS 事件 收集 器 和 RG-IDS 控制 台 , 地 址 配置 为 192. 168. 4. 2/24， 
然后 启动 相应 的 服务 后 ,使 用 默认 的 用 户 名 Admin, 密 码 Admin, 登 录 IDS 控制 台 , 由 于 
事件 收集 器 安装 在 与 控制 台 同 一 台 PC(PC5) 上 ,所 以 地 址 为 127. 0. 0. 1, 如 图 7-42 所 示 。 


EE 加 


RG -IDS 

阁 瑟 入 优 花 测 系 统 
种 和 吕 :27001 习 
账 Spin 
密 码 : [eq 


退出 配置 >》 
图 7-42 安装 RG-IDS 事件 收集 器 和 控制 台 
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登录 后 ,创建 一 个 用 户 ,用 户 名 为 idsuser, 密 码 为 idsuser, 并 赋予 其 所 有 的 权限 ,如 
图 7-43 所 示 。 


安全 事件 报表 查询 策略 组件 | 用 户 | 系统 日 志 ”关于 bd 


时 二 加 用 户 组 [D) 交 医 除 用 户 组 (8) : 沁 添加 用 户 (8) 名 三 5 月 PID) 二 能 六 用 PM) 走 党 二 用 PLD rm 解 锌 有 PLW 图 冯 


站 | | 要 用户 基 本 属性 | 
A User management [ry x 
总 audtor 
-权限 配置 
和 确定 
用 户 名 : Bidsuser 三 用户 等 理 
Re | 取 光 | | : 
S| em ] 
| 
光 克 确 从: | 和 
tan: F 万 第 中 管理 
2 厅 组 件 查看 
个 动 而 铸 定 。 个 胡 考 乡 定 组 件 管理 
mn < 
郎 忻 地 十: [idsuser@ruijie co en 报表 使 用 权限 : 
Er = 安全 事件 查看 
"ee 把 系统 日 志 查 看 
一 
x | 下 | 事件 名 称 
人 中国 8 用户 


图 7-43 创建 一 个 用 户 


使 用 用 户 idsuser 重新 登录 IDS 控制 台 ,并 添加 传感器 组 件 , 如 图 7-44 所 示 。 
区 em, 吕 | 二 | 呈 | 间 | 吉 :| 二 困 


万 六 1 全 全 活 吉 隐 组 作 @) 了 体 雄 明 体 册 起 连 理 央 0 应 月 第 中”@) 同步 答 和 人 人] 重启 主机 (4 加 下 所 5 第 日 达 清 周济 (Q) 
oc 人 ES | 


a 


说 | 区 了 名 稿 。 | 地 址 UO 下 EE E23 | 
EE3 127.00.113002 60% 备 名 甘 : 4_1 .25T06053002 友 组 件 : 7, 1 2, 26， 正 等 工作 一 
外 Di 5 lztt4tits9 1% 59% 1% 答 库 :4 .1.27T00052002 太 姐 溃 :7.1 事 作 斩首 ;下定 工作 ; 命 $ 通 道 ; 宝 用 接收 自 狂 当 ，。 


图 7-44 添加 传感器 组 件 


加 0 配置 IDS 策 略 

在 IDS 控制 台 界 面 中 , 单 击 “ 策 略 ” 按 钮 ,然后 右键 单 击 名 为 Engine_Inside_FireWall 
的 策略 ,在 弹出 的 菜单 中 选择 “编辑 锁定 ”命令 ,如 图 7-45 所 示 。 

再 次 右键 单 击 名 为 Engine_Inside_FireWall 的 策略 ,在 弹出 的 菜单 中 选择 “派生 策 
略 ” 命 令 , 如 图 7-46 所 示 。 

输入 策略 的 名 称 ,这 里 我 们 使 用 IDS_Sensor, 如 图 7-47 所 示 。 
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ee 
S$ ” 报 可 | 篇 | 弛 ”用 | 用 时 | 于 
括 呈 人 弟 晤 中 依 导 出 第 路 日” 亿 。 编 加 核定 国 FF#EG 辟 
Engine_Inside_Firewall (策略 模板 ， 


| = 
Nitsa petector 四 9 上 区 
昌 回 
Dr 日 国 D authentication | 
由 -回国 authentication 
区 人 有 
由 - 口 国 badirequser 
口 白 badhes 
回电 bugbear Ee 
和 可 
上 ur 
rin Coversee 血 回 和 dhep 弹 
| le 
| J Protocol Analyrer 甸 口 Finger 
站 wear 站 8 


3 


i 名 [总 | 党 角 | 忆 
安全 事件 ” 报表 。 查询 | 党 | 组 件 ”用 户 系统 日 志 
他 导入 策略 (D 。 儿 导出 策略 (E) 。 同 解 除 编辑 岳 定 (国保 记 第 咯 ( 了 


Engine_Inside_Firewall 《策略 模板 
洁 玫 第 咯 


asapetector 由 am 


Defanlt 日 国人 authentication 


Pl) 
| 
这 
和 


Engine_Inside Firewall 


4 
a Cy 
(For Mindows Networks 
EB Maximum_Coverage 
eotoc nayrer 
Croataer 
图 7-46 派生 策略 7-47 输入 策略 的 名 称 


对 派生 的 策略 进行 编辑 ,我 们 启用 tcp 的 所 有 签名 ,然后 单 击 页 面 上 的 “保存 策略 ” 按 
钮 ,如 图 7-48 所 示 。 

单 击 界面 上 的 “组 件 ” 按 钮 ,然后 右键 单 击 IDS Sensor 组 件 ,在 弹出 的 菜单 中 选择 “应 
用 策略 ”命令 ,如 图 7-49 所 示 。 

选择 刚刚 创建 的 策略 IDS_Sensor, 然 后 单 击 “ 应 用 ”按钮 ,如 图 7-50 所 示 。 

应 用 策略 后 ,界面 会 显示 正在 将 策略 发 送 给 IDS Sensor, 如 图 7-51 所 示 。 


2. 实施 扫描 攻击 
PC4 的 地 址 配置 为 201. 1. 1. 44/24, 使 用 端口 扫描 工具 对 FTP 服务 器 200. 1. 1. 100 
进行 端口 扫描 ,可 以 看 到 扫描 工具 检测 到 FTP 服务 器 上 正在 开启 着 多 种 服务 ,包括 FTP 
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图 7-49 应 用 策略 


图 7-51 应 用 创建 的 策略 


服务 ,如 图 7-52 所 示 。 


22 查看 IDS Sensor 安全 事件 

在 IDS 控制 台 上 查看 警报 。 单 击 控制 台 页 面 中 的 “安全 事件 ?按钮 ,可 以 看 到 IDS 
Sensor 发 出 “tcp:fastportscan”TCP 快速 端口 扫描 的 警告 ,并 且 此 次 威胁 来 自 于 201. 1. 1. 44， 
即 PC4 的 地 址 ,如 图 7-53 所 示 。 


m= 308 mm 
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询 Advanced Port Scanner v1.3 = 中 jx 
文件 E) 选项 O) 帮助 中 


2 加 = 


候 一 RADMIN 


EY 7 remote control software 
fast. secure. affordable. 
扫 妇 | 200 . ! . ! .100 厂 使 用 P 眉 
厂 使 用 pp 和 组 群 
过 择 六 口 范围 “局 - Fass 厂 合用 默认 端口 列表 
厂 使 用 端口 范围 列表 
日 电 200.1.1.100 (97EBD74A16894E6 ) ”端口 (已 扫描 2049 个 共 2049 个 , 打开 : 7 个 ,关闭 : 2042 个 ) 
日 大 打开 的 端口 O 
1 正 开 训 


@ 5 正 开放 (antp) 
@ 110 正 开放 (pop3) 
@ 135 正 开放 (ocsv) 
@ 139 正 开放 (netbios-ssn) 
筷 445 正 开放 (microsoftds) 
靖 1027 正 开放 
田 -组 关闭 的 端口 (2042) 


| 
[Scan compiele 


图 7-52 实施 扫描 攻击 


Ea BE] 


己基 短信 个 地 (1) 
日 革 ?oH 
时 


E 高 风险 = = 
而 风险 中 风险 全 只 一 一 通知 
2008.07-14 冯 全 事件 风险 频率 统计 图 


BR Fr 


图 7-53 查看 IDS Sensor 告警 


23 配置 防火 墙 的 抗 攻击 功能 

在 防火 墙 的 Web 界面 中 ,选择 “安全 策略 ”>“ 抗 攻击 ”后 进入 抗 攻击 配置 页 面 ,对 于 
WAN 接口 单 击 末 尾 的 操作 图 标 后 , 勾 选 “启用 抗 攻击 " 复 选 框 ,并 且 选 择 一 个 或 多 个 需要 
启用 的 抗 攻 击 功 能 。 这 里 我 们 将 抗 TCP 端口 扫描 默认 的 10 毫秒 修改 为 1000 毫秒 , 即 如 
果 每 秒 有 访问 同一 个 IP 的 10 个 不 同 端口 的 TCP 包 , 则 认为 是 TCP 端口 扫描 攻击 ,并 且 
防火 墙 将 阻 断 源 地 址 并 丢弃 扫描 报 文 ,如 图 7-54 所 示 。 


24 实施 扫描 攻击 
再 次 在 PC4(Attacker) 上 使 用 端口 扫描 工具 对 FTP 服务 器 200. 1. 1. 100 进行 端口 
扫描 ,可 以 看 到 扫描 工具 这 次 无 法 检测 到 FTP 服务 器 上 正在 开放 的 服务 ,因为 扫描 报 文 
已 经 被 防火 墙 阻 断 ,如 图 7-55 所 示 。 
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-Mcrosoft Internet Explorer 


回 搞 Tc 无 标记 让 二 


回 搞 权 天 和 区 击 


回 抗 Sr 4 FDI 位 设 本 到 


回 搞 天 而 人 fT 区 十 


Ee 


TCF 端口 扫 指 

1000 | 这 秋 同 一 II9L0 个 不 同 靖 吕 的 TCF 包 ( 1-65535 ) 
让 i 
厂 雪松 区 涯 才 隐 击 三 抗 王 时间 量 攻 击 
厂 。 抗 严格 党 册 攻击 厂 抗 lea 世 击 
厂 抗 Wake 攻击 厂 搞 teute 攻击 
厂 防 me 其 击 


厂 ” 搞 理 记录 咒 由 攻击 


= a 
图 7-54 配置 防火 墙 的 抗 攻击 功能 


芍 Advanced Port Scanner v1.3 


文件 E) 选项 0) 帮助 由 


器 | 加 | 时 而 


日 加 200.1.1.100 端口 (已 扫描 2049 个 共 2049 个 , 打开 ; 0 个 ,关闭 : 2049 个 ) 
田 - 轿 打开 的 端口 (0) 
四 -后 关闭 8 端口 (2049) 


图 7-55 实施 扫描 攻击 
由 于 防火 墙 阻 断 了 扫描 攻击 ,所 以 IDS Sensor 也 没有 产生 报警 ,如 图 7-56 所 示 。 


| 二 肛 


捍 | 混 
用 P 随时 


2008.07-14 17:14:22 安全 事件 TOP 10 统计 图 


国 无 事件 


国 上 EroplotEi 司 >>> 
7-56 ”防火 墙 阻 断 了 扫描 攻击 
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五 配置 KC 1918 过 滤 
在 运营 商 的 路 由 器 上 使 用 扩展 访问 控制 列表 过 滤 掉 源 地 址 为 私有 地 址 (RFC 1918) 
的 报 文 。 


Router# configure terminal 

Router (config)# ip access- list extended deny rfc1918 

Router (configr- ext- nacl)# deny ip 192.168.0.0 0.0.255.255 any 
Router (config- ext— nacl)# deny ip 172.16.0.0 0.15.255.255 any 
Router (config- ext- nacl)# deny ip 10.0.0.0 0.255.255.255 any 
Router (config- ext- nacl)# Permit ip any any 

Router (config- ext- nacl)# exit 

Router (config)# interface FastEthemet 0/0 

Router (configr- if)# ip access- group deny_rfc1918 out 

Router (configr- if)#end 

Routert 


【注意 事项 】 


. 


在 整个 项 目 实施 过 程 中 ,建议 使 用 一 台 专用 的 PC 对 各 个 设备 进行 配置 。 
不 要 在 路 由 器 上 配置 访问 总 部 网 络 和 分 支 办 事 处 网 络 私有 子 网 的 路 由 ,因为 
Internet 中 的 路 由 器 是 没有 访问 私有 地 址 的 路 由 条 目的 。 

如 果 要 通过 LAN-to-LAN IPSec 隧道 和 Remote-Access IPSec 隧道 访问 FTP 服 
务 器 ,需要 在 FTP 服务 器 上 添加 访问 分 支 办事 处 网 络 192. 168. 2. 0/24 和 远程 接 
和 用户 子 网 192. 168. 3. 0/24 的 路 由 。 

在 Windows 中 使 用 route add 命令 添加 静态 路 由 时 ,使 用 -p 参数 可 以 添加 一 条 永 
久 路 由 。 

在 PC 安装 SRA 后 ,可 能 需要 重新 启动 PC。 

SRA 软件 可 能 会 与 某 些 软 件 产生 冲突 而 不 能 正常 工作 。 

在 安装 IDS 组 件 时 ,请 先 安装 事件 收集 器 ,然后 安装 控制 台 。 本 实验 只 安装 了 
IDS 的 两 个 必需 的 组 件 , 即 事件 收集 器 和 控制 台 , 如 果 需 要 报表 功能 ,请 安装 数据 
库 和 报表 查询 工具 。 

当 使 用 端口 扫描 工具 进行 扫描 时 ,请 注意 调整 扫描 的 频率 ,如 果 扫 描 的 频率 过 低 ， 
防火 墙 和 IDS 可 能 将 认为 是 正常 的 数据 流 , 从 而 不 会 阻 断 和 告警 。 
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教材 ， 请 您 抽出 宝贵 的 时 间 来 填写 下 面 的 意见 反馈 表 ， 以 便 我 们 更 好 地 对 本 教材 做 进 
一 步 改进 。 同 时 如 果 您 在 使 用 本 教材 的 过 程 中 遇 到 了 什么 问题 , 或 者 有 什么 好 的 建议 ， 


也 请 您 来 信 告 诉 我 们 。 
地 址 ， 北京 市 海淀 区 双 清 路 学 研 大 厦 A 座 602 室 计算 机 与 信息 分 社 营 销 室 收 
邮编 : 100084 电子 邮件 : jsjjc@tup.tsinghua.edu.cn 


电话 : 010-62770175-4608/4409 邮购 电话 : 010-62786544 


教材 名 称 :网络 安全 防御 技术 实践 教程 

ISBN: 978-7-302-20983-6 

个 人 资料 

姓名 : 年 龄 : 所 在 院 校 /专业 : 
文化 程度 : 通信 地 址 : 
联系 电话 : 电子 信箱 : 
您 使 用 本 书 是 作为 : 口 指定 教材 口 选用 教材 口 辅导 教材 口 
您 对 本 书 封面 设计 的 满意 度 : 

口 很 满意 口 满意 口 一 般 口 不 满意 ”改进 建议 

您 对 本 书 印刷 质量 的 满意 度 : 
口 很 满意 口 满意 口 一 般 口 不 满意 ”改进 建议 
您 对 本 书 的 总 体 满意 度 : 

从 语言 质量 角度 看 口 很 满意 口 满意 口 一 般 口 不 满意 
从 科技 含量 角度 看 口 很 满意 口 满意 口 一 般 口 不 满意 
本 书 最 令 您 满意 的 是 : 

口 指导 明确 口内 容 充 实 口 讲解 详尽 口 实例 丰富 

您 认为 本 书 在 哪些 地 方 应 进行 修改 ? 〈 可 附 页 ) 


您 希望 本 书 在 哪些 方面 进行 改进 ? 〈 可 附 页 ) 


电子 教案 支持 


敬爱 的 教师 : 

为 了 配合 本 课程 的 教学 需要 ， 本 教材 配 有 配套 的 电子 教案 (素材 )， 有 需求 的 教师 可 
以 与 我 们 联系 ,我们 将 向 使 用 本 教材 进行 教学 的 教师 免费 赠送 电子 教案 (素材 )， 希 望 有 
助 于 教学 活动 的 开展 。 相 关 信 息 请 拨打 电话 010-62776969 或 发 送 电 子 邮 件 至 
jsjc@tuptsinghua.edu.cn 咨询 ， 也 可 以 到 清华 大 学 出 版 社 主页 (http://www.tup.com.cn 或 
http://www.tup.tsinghua.edu.cn) 上 查询 。 


